Volgens het foutenrapport is het voldoende om één speciaal geprepareerd "dynamic update" pakket naar een zone te sturen waarvan de DNS-server de master is. Het gevolg is dat die DNS-server dan geen hostnamen meer vertaalt naar IP-adressen, waardoor het om een denial-of-service (DoS) aanval gaat. Dynamic updates worden door geauthoriseerde DNS-servers gebruikt om records toe te voegen aan of te verwijderen van een zone.

Geen authenticatie nodig

Het gaat om een ernstig DoS-probleem omdat aanvallers geen enkele authenticatie nodig hebben om het lek te misbruiken. Bovendien vereist de server ook geen speciale configuratie: de aanval werkt ook voor servers die niet geconfigureerd zijn om dynamic updates toe te laten. Volgens de producent ISC (Internet Systems Consortium) is de aanval echter alleen succesvol in systemen waar Bind als een master voor een zone is opgezet. Aanvallen tegen slave zones zijn niet effectief. De enige workaround is een firewall-regel instellen om nsupdate-boodschappen naar de DNS-server tegen te houden.

Exploit

Op hetzelfde moment dat de kwetsbaarheid werd aangekondigd werd er ook een exploit gepubliceerd om een kwaadaardig pakket te fabriceren, wat het nog belangrijker maakt om te upgraden. Het ISC raadt gebruikers dan ook aan om hun Bind-servers zo vlug mogelijk te upgraden naar versies 9.4.3-P3, 9.5.1-P3 of 9.6.1-P1. Veel Linux-distributies hebben hun Bind-pakket al een update gegeven.

Bind heeft in het verleden al met verscheidene ernstige fouten te maken gehad. Zo werd Bind 8 in 2007 end-of-life verklaard na een ernstig lek. Bron: Techworld