Kritischer Fehler in BIND-9-Versionen

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 29. März 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.213
    Zustimmungen:
    2.728
    Punkte für Erfolge:
    113
    Ort:
    Астана
    Über einen böswilligen regulären Ausdruck können Angreifer eine Denial-of-Service-Attacke gegen einen BIND-Server starten. Zudem können Hacker auch andere Programme auf derselben physischen Maschine durch den besagten Fehler kompromittieren. Der kritische Programmfehler betrifft BIND-9-Versionen unter UNIX-Systemen und erlaubt Angreifern eine massive Speicherauslastung des named-Dienstes oder von Programmen mit Verknüpfung zur libdns-Bibliothek.
    Windows-Versionen sind davon nicht betroffen, ebenso Versionen von BIND 10. Fehlerbereinigte Versionen sollten möglichst schnell eingespielt werden, weitere Details sind als CVE-2013-2266-Meldung einsehbar. Die Sicherheits-Updates sind unter BIND 9.9.2-P2 und 9.8.4-P2 zu finden. Der Versionszweig 9.7 wird nicht länger gewartet und hat den Status "End of Life" (EOL).
    Anwendungen welche die libdns-Bibliothek einer betroffenen BIND-Version nutzen, sind ebenfalls potenziell Verwundbar, sofern eine Eingabe den Fehler auslösen kann. Solche Programme sollten ebenfalls aktualisiert werden. Ein möglicher Workaround ist das erneute Compilieren der betreffenden Versionen mit ausgeschalteter RegEx-Unterstützung. Betroffen sind die Versionen: BIND 9.7.x, BIND 9.8 (9.8.0 bis 9.8.5b1) und BIND 9.9 (9.9.0 bis 9.9.3b1).

    heise-security
     
    #1
    semit gefällt das.

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.