Sikkerhedsoplysninger / 2017 / Sikkerhedsoplysninger -- DSA-3904-1 bind9

Debians sikkerhedsbulletin

DSA-3904-1 bind9 -- sikkerhedsopdatering

Rapporteret den:

8. jul 2017

Berørte pakker:

bind9

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 866564.
I Mitres CVE-ordbog: CVE-2017-3142, CVE-2017-3143.

Yderligere oplysninger:

Clément Berthaux fra Synaktiv opdagede to sårbarheder i BIND, en DNS-serverimplementering. De gjorde det muligt for en angriber at omgå TSIG-autentificering ved at sende fabrikerede DNS-pakker til en server.

• CVE-2017-3142

  En angriber, der er i stand til at sende og modtage meddelelser til en autoritativ DNS-server, og som har viden om et gyldigt TSIG-nøglenavn, kunne være i stand til at omgå AXFR-forespørgslers TSIG-autentifikation, gennem en omhyggeligt fremstillet forespørgselspakke. En server, der kun er afhængig af TSIG-nøgler til beskyttelse, uden nogen anden ACL-beskyttelse, kunne blive manipuleret til at:

  • levere en AXFR af en zone til en uautoriseret modtager
  • acceptere falske NOTIFY-pakker
• CVE-2017-3143

  En angriber, der er i stand til at sende og modtage meddelelser til en autorisativ DNS-server, og som har viden om et gyldigt TSIG-nøglenavn til zonen og navnet på tjenesten der er målet, kunne være i stand til at manipulere BIND til at acceptere en uautoriseret dynamisk opdatering.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 1:9.9.5.dfsg-9+deb8u12.

I den stabile distribution (stretch), er disse problemer rettet i version 1:9.10.3.dfsg.P4-12.3+deb9u1.

Vi anbefaler at du opgraderer dine bind9-pakker.