Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3904-1 bind9

Säkerhetsbulletin från Debian

DSA-3904-1 bind9 -- säkerhetsuppdatering

Rapporterat den:

2017-07-08

Berörda paket:

bind9

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 866564.
I Mitres CVE-förteckning: CVE-2017-3142, CVE-2017-3143.

Ytterligare information:

Clément Berthaux från Synaktiv upptäckte två sårbarheter i DNS-serverimplementationen BIND. Dessa tillåter en angripare att förbigå TSIG-autentisering genom att skicka skapade DNS-paket till en server.

• CVE-2017-3142

  En angripare som kan skicka och ta emot meddelanden till en auktoritativ DNS-server och som har vetskap om ett giltigt TSIG-nyckelnamn kan ha möjlighet att kringgå TSIG-autentisering av AXFR-förfrågningar via ett noggrant skapat förfrågepaket. En server som förlitar sig helt på TSIG-nycklar för skydd utan annat ACL-skydd kan manipuleras till att:

  • tillhandahålla en AXFR för en zon till en obehörig mottagare
  • acceptera falska NOTIFY-paket
• CVE-2017-3143

  En angripare som kan skicka och ta emot meddelanden till en auktoritativ DNS-server och som har vetskap om ett giltigt TSIG-nyckelnamn för zonen och tjänsten som är mål kan ha möjlighet att manipulera BIND till att acceptera en obehörig dynamisk uppdatering.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1:9.9.5.dfsg-9+deb8u12.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 1:9.10.3.dfsg.P4-12.3+deb9u1.

Vi rekommenderar att ni uppgraderar era bind9-paket.