Kritische Schwachstellen werden oft in Angriffsszenarien genutzt, variierend von Denial-of-Service zu Malware-Infiltration Fällen. Eine ernsthafte Sicherheitslücke wurde kürzlich gepatchte, die Art, die es Angreifern erlauben würde, die Durchführung von Denial-of-Service-Attacken über die Berkeley Internet Name Domain (BINDEN) Abenteuer. Die Sicherheitslücke in Frage wird unter CVE-2016-2776 bekannt, und wurde bei der internen Prüfung durch das ISC entdeckt.
Was ist BIND?
BINDEN ist Open-Source-Software, die das Domain Name System implementiert (DNS) Protokolle für das Internet. Es ist eine Referenz-Implementierung dieser Protokolle, es ist aber auch Produktions-grade-Software, geeignet für die Verwendung in High-Volume-und Hochzuverlässigkeitsanwendungen. Der Name BIND steht für „Berkeley Internet Name Domain“, weil die Software entstand an der University of California in Berkeley in den frühen 1980er Jahren.
Außerdem, BIND ist auch als Standard für Linux und andere Unix-basierte Systeme bekannt. Dies bedeutet, dass ein Fehler, eine große Anzahl von Servern auswirken kann und Anwendungen. Wie bereits festgestellt, die BIND Sicherheitsanfälligkeit kann in DoS-Angriffe genutzt werden, wo verschiedene Organisationen ausgerichtet werden können. Die Angriffe könnten zu deaktivieren, Herunterfahren, oder Unterbrechung eines Dienstes, Netzwerk, oder eine Website integrieren.
Forscher sagen, dass aktive Angriffe auf Oktober gemeldet wurden 5, kurz nach einem Proof-of-Concept wurde am Oktober veröffentlicht 1. Außerdem, die Mängel betreffen BIND9 Versionen einschließlich 9.9.9-P3, 9.10.x vor 9.10.4-P3, und 9.11.x vor 9.11.0rc3.
Mehr über CVE-2016-2776
Die Sicherheitsanfälligkeit kann aktiviert werden, wenn ein DNS-Server eine Antwort auf eine gefälschte Abfrage konstruiert, wo die Antwortgröße der Standard-DNS-Antwortgröße kreuzt (512). Offenbar, ISC hat bereits zwei verletzlich Funktionen fixiert (dns_message_renderbegin () und dns_message_rendersection() ) die Schwachstelle zu beheben.
Wie von Trend Micro, wenn ein DNS-Server erstellt eine Antwort für eine DNS-Abfrage, es behält den Raum in dem Antwortpuffer (was 512 in Größe, standardmäßig), es wird die msg-> reserviert durch die Größe für Antwort RR erforderlich erhöhen. Die Größe summiert sich auch in msg-> reservierten Größe, was wäre das gleiche, wenn die Antwortpuffer andere Ressourceneinträge haben.
Vor dem Patchen, der Server 12-Byte-DNS-Header nicht in Betracht Fest, die erhöht auch den Antwortverkehr nach den Ressourceneinträge aus Query durch Funktion dns_message_rendersection Rendering(). Also, wenn die DNS-Antwort(r.length) Verkehr ist weniger als 512 bytes (msg-> reserviert), die Funktion gibt true zurück, aber das Hinzufügen des festen 12-Byte-Header wird den Dienst führen zu beenden, wenn er die festen, reservierte Größe überschreitet 512 bytes.
Der Patch ermöglicht Server die DNS-Header-Länge von der Gesamtantwortlänge zu verringern, indem 12 bytes. Dann vergleicht er es auf die reservierte Puffergröße richtige Berechnungen für Antwortgröße bereitzustellen,.
Verfügbare Updates:
- BINDEN 9 Version 9.9.9-P3
- BINDEN 9 Version 9.10.4-P3
- BINDEN 9 Version 9.11.0rc3
- BINDEN 9 Version 9.9.9-S5