Het Internet Systems Consortium (ISC) heeft dinsdag twee bugs in de veelgebruikte nameserver BIND opgelost. De gaten in de het systeem maken het voor aanvallers van buiten mogelijk om de software te laten crashen. BIND is de standaard nameserver op de meeste Unix-systemen. Ongeveer 70 procent van alle DNS-servers wereldwijd gebruikt deze software. DNS is het centrale adresboek van het internet, die domeinnamen koppelt aan ip-adressen.

Speciaal pakketje

De grootste bug werkt in alle getroffen versies van BIND 9. Als een aanvaller een speciaal gemaakt pakketje direct naar de nameserver stuurt is het voor hem mogelijk om van afstand het proces van de software te laten stoppen. Dit werkt zowel op authorative als recursive nameservers.

Door de locatie waar de getroffen code zich bevindt is het volgens het ISC onmogelijk om het probleem op te lossen met behulp van de access control list van BIND. Daarmee kunnen beheerders normaliter bepalen wie wel en niet gebruik mag maken van hun server. Volgens de makers van BIND is het ook mogelijk om zo'n DoS-aanval uit te voeren via malware die op een systeem staat dat toegang heeft tot een bepaalde nameserver.

Fout in bescherming

Het tweede gat werkt alleen op recursive nameservers, die DNS-aanvragen voor een heel netwerk behandelen. Die nameservers moeten dan bovendien Response Policy Zones (RPZ) ondersteunen. RPZ is een soort spamfilter voor DNS-servers die het onmogelijk maakt om een ip-adres bij onbetrouwbare domeinnamen te zoeken.

De nameserver kan crashen als in die RPZ een DNAME is opgenomen. Zo'n DNAME is vergelijkbaar met een CNAME, dat de ene hostname naar de andere laat verwijzen, maar creëert een alias voor meerdere subdomeinen onder één domein. Als een beheerder zo'n DNAME heeft opgenomen in de DNS-zone voor RPZ dan kan de server crashen als iemand precies die record opvraagt bij de DNS-server.

De eerste fout wordt opgelost in BIND versie 9.6-ESV-R4-P3, 9.7.3-P3 en 9.8.0-P4. De laatste bug wordt alleen in die derde patchversie gefikst voor de meeste recente BIND-versie 9.8.