Bug in BIND kan DNS-servers platleggen
Gepubliceerd: Donderdag 24 februari 2011
Auteur: Michiel van Blommestein
Ontwikkelaars hebben een bug in BIND gerepareerd die aanvallers, in theorie, in staat stelt om DNS-servers zo goed als plat te leggen.
Dat meldt de Internet Systems Consortium (ISC) in een beveiligingsbericht. De kwetsbaarheid kan ervoor zorgen dat een DNS-server geen aanvragen meer kan verwerken. Daarmee lopen de 'telefoonboeken van het internet' en dus het internet een risico. BIND is veruit de meestgebruikte DNS-software in de markt.
"Wanneer een server een succesvolle IXFR-overdracht of dynamische update verwerkt, bestaat er een korte tijdsspanne waarin de IXFR/update gekoppeld met een query een impasse kan bereiken", zo staat op de website te lezen. "Door deze impasse kan de server geen aanvragen meer verwerken. Een groot aantal aanvragen en/of een belastend updateproces vergroot de waarschijnlijkheid van deze staat."
Oude versies niet kwetsbaar
Specifiek kom het probleem voor in BIND versies 9.7.1 en 9.7.2, zo meldt Neustar, het telecombedrijf dat de bug heeft ontdekt. Eerdere versies zijn niet vatbaar voor eventuele aanvallen naar aanleiding van de bug.
Hoewel er geen exploits bestaan voor de bug, adviseert de ISC beheerders dringend om de update toe te passen. Een succesvolle aanval kan het internet voor zeer grote groepen mensen afsnijden. Zo'n aanval is van buiten uit te voeren.
Een mogelijke workaround voor gebruikers is dan om het oorspronkelijke IP-adres van een website te gebruiken in plaats van de URL. Maar die adressen zijn niet algemeen bekend.
