DNSSec-Signatur kann Bind-Nameserver abstürzen lassen

Wenn ein Bind Nameserver als Cache läuft, ist er anfällig für einen DoS-Angriff, der den Server zum Absturz bringen kann. Der Hersteller ISC beschreibt das Problem in seinem Advisory Large RRSIG RRsets and Negative Caching can crash named und stuft dort das übers Netz auslösbare Problem in der Kategorie "High" ein.

Die Erweiterung DNSec spielt eine Schlüsselrolle im jüngsten Sicherheitsproblem des weit verbreiteten Nameservers. Offenbar gerät die interne Speicherverwaltung durcheinander, wenn der Cache signierte Einträge für nichtexistierende Domains zwischenspeichern muss. Wie Larissa Shapiro von ISC gegenüber heise Security bestätigte, sind auch Server anfällig, die selbst keine DNSSec-Funktionen anbieten.

Um den Fehler auszunutzen, muss der Angreifer jedoch laut ISC selbst einen mit DNSec signierten Authority-Server für eine Domain betreiben. Er könnte dann etwa mit Spam-Mails DNS-Lookups für nicht existierende Namen innerhalb dieser Domain verursachen, die den Fehler in einem anfälligen Nameserver auslösen. Betroffen sind die Versionen 9.4-ESV-R3, 9.6-ESV-R2, 9.6.3, 9.7.1, 9.8.0 und deren Vorgänger. Der Hersteller ISC stellt Updates bereit, die den Fehler beheben sollen. (ju)