En sårbarhet som påverkar namnservrar baserade på ISC BIND har upptäckts. I namnservrar som är konfigurerade att utföra DNSSEC-validering och som använder så kallade “managed-keys”, vilket inträffar vid användande av tillitsankare från DLV, DNSSEC Lookaside Validation, eller enligt RFC5011 genom att alternativen “dnssec-validation auto;” eller “dnssec-lookaside auto;” aktiverats i konfigurationen kan situationen uppstå men endast när samtliga av dessa kriterier uppfylls:
Detta kan resultera i att processen “named” kraschar, med resultatet att tjänsten inte längre är tillgänglig för klienter, genom antingen ett problem med nyckelrullning för ett tillitsankare eller att en angripare avsiktligen utnyttjar sårbarheten.
Endast namnservrar som utför DNSSEC-validering och som använder managed-keys är påverkade av denna sårbarhet. Rekursiva validerande resolvrar är i störst risk men även auktoritativa servrar kan vara sårbara under beskrivna förhållanden.
Påverkade versioner:
ISC BIND 9.7.0 till BIND 9.10.1-P1 samt de kommande maintenancereleaserna 9.9.7b1 & rc1 och 9.10.2b1 & rc1.
BlueCat DNS/DHCP Server v6.7.1 till v7.0.6 inklusive alla kumulativa uppdateringar samt v7.1
Uppgradering till den senaste patchen av den version som motsvarar er nuvarande version av BIND finns att ladda ner från http://www.isc.org/downloads.
BlueCat Networks har släppt hotfixar för samtliga supportade versioner, dessa kan laddas ner från https://care.bluecatnetworks.com för er som har ett eget konto eller kan erhållas vid kontakt med vår support.
Mer detaljerad information om sårbarheten står att finna här: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1349
Kontakta Certezza Support vid frågor,
E-post: support@certezza.net
Telefon: 08-791 92 00
Andreas Elmerdal
