70 procent DNS-servers op afstand te crashen

adresboek

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Woensdag 6 juli 2011
Auteur: Uhro van der Pluijm

Het ISC heeft dinsdag een patch voor alomtegenwoordige DNS-serversoftware BIND uitgebracht. Die patch repareert twee bugs die het voor buitenstaanders mogelijk maken om de nameserver te laten crashen.

Het Internet Systems Consortium (ISC) heeft dinsdag twee bugs in de veelgebruikte nameserver BIND opgelost. De gaten in de het systeem maken het voor aanvallers van buiten mogelijk om de software te laten crashen. BIND is de standaard nameserver op de meeste Unix-systemen. Ongeveer 70 procent van alle DNS-servers wereldwijd gebruikt deze software. DNS is het centrale adresboek van het internet, die domeinnamen koppelt aan ip-adressen.

Speciaal pakketje

De grootste bug werkt in alle getroffen versies van BIND 9. Als een aanvaller een speciaal gemaakt pakketje direct naar de nameserver stuurt is het voor hem mogelijk om van afstand het proces van de software te laten stoppen. Dit werkt zowel op authorative als recursive nameservers.

Door de locatie waar de getroffen code zich bevindt is het volgens het ISC onmogelijk om het probleem op te lossen met behulp van de access control list van BIND. Daarmee kunnen beheerders normaliter bepalen wie wel en niet gebruik mag maken van hun server. Volgens de makers van BIND is het ook mogelijk om zo'n DoS-aanval uit te voeren via malware die op een systeem staat dat toegang heeft tot een bepaalde nameserver.

Fout in bescherming

Het tweede gat werkt alleen op recursive nameservers, die DNS-aanvragen voor een heel netwerk behandelen. Die nameservers moeten dan bovendien Response Policy Zones (RPZ) ondersteunen. RPZ is een soort spamfilter voor DNS-servers die het onmogelijk maakt om een ip-adres bij onbetrouwbare domeinnamen te zoeken.

De nameserver kan crashen als in die RPZ een DNAME is opgenomen. Zo'n DNAME is vergelijkbaar met een CNAME, dat de ene hostname naar de andere laat verwijzen, maar creëert een alias voor meerdere subdomeinen onder één domein. Als een beheerder zo'n DNAME heeft opgenomen in de DNS-zone voor RPZ dan kan de server crashen als iemand precies die record opvraagt bij de DNS-server.

De eerste fout wordt opgelost in BIND versie 9.6-ESV-R4-P3, 9.7.3-P3 en 9.8.0-P4. De laatste bug wordt alleen in die derde patchversie gefikst voor de meeste recente BIND-versie 9.8.

Relevante whitepapers

Alle whitepapers >>

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)