Sigurnosna ažuriranja za BIND

Internet Systems Consortium (ISC), tvrtka iza open source name servera BIND, je izdao sigurnosno ažuriranje za rješavanje DNSSEC vezane uz ranjivost. Prema izvještaju, pod određenim okolnostima ime poslužitelja koji omogućuje rekurzivni upit koji izvuku informacije iz dodatnih dijelova odgovora. To omogućuje napadačima kako bi se uveli lažno ime poslužitelja, sa rezultatom da su određenim domenama dodjeli kriva IP adresa (npr. phishing poslužitelja). Navodno su zahvaćene sve verzije BIND od 9.0.x na 9.6.x.

Problem javlja samo kada klijent šalje rekurzivni upite u kojem DNSSEC Ok (DO) i Provjerava Disabled (CD) zastave su postavljene u zaglavlju. Prema ISC, to nikada ne bi trebao dogoditi pod normalnim okolnostima i oni nisu svjesni svakog klijenta (stub) resolver koja šalje takve pitalice. Međutim, oni su svjesni barem jedne provedbu drugog DNS poslužitelja, koje je obje ove zastave postavlja u proslijeđene upite. DNSSEC-capable klijenti obično samo set “DNSSEC Ok” zastavu, kao što je slučaj, primjerice, u sustavu Windows 7.

Iako je normalno klijenti ne šalju upite ove vrste, svakako je moguće da  malware mogu biti u mogućnosti manipulirati nazivom poslužitelja na taj način pomoću izrađenih upita unutar korporacijskih mreža. Korisnici stoga ne bi trebao oklijevati da instaliraju ažuriranja 9.4.3-P4, 9.5.2-P1 ili 9.6.1-P2. Administratori također trebaju provjeriti da li serveri dozvoljavaju rekurzivne upite iz vanjskih izvora i ako je potrebno blokirati ovu opciju.  Problem se ne pojavljuje sam na authoritative-only name servers.

Nema ažuriranja dostupnih  za verzije 9,0 do 9,3, jer oni više nisu podržane. Beta verzija BIND-a 9,7 je također ranjiva, ali je problem  riješen u narednom 9.7.0b3 izdanju.

Ostavite komentar

Ime (obavezno)

E-mail (obavezno)

URI

Vaša poruka

CAPTCHA Code