Um eine potenzielle DoS-Schwachstelle zu beseitigen, hat der Hersteller ISC das Update 9.8.0-P1 für seinen DNS-Server BIND veröffentlicht. Unter bestimmten Umständen können signierte Server-Antworten (RRSIG) einen BIND-Server zum Absturz bringen. Laut ISC kann der Fall jedoch nur eintreten, wenn der verwundbare Server sogenannte Response Policy Zones (RPZ) unterstützt.

Welche Domain-Namen nicht aufgelöst werden sollen, soll sich mit RPZ definieren lassen. Beispielsweise lässt sich über eine Reputationsdatenbank definieren, welche das genau sind. RPZ wurde erstmals in BIND 9.8.0 implementiert und soll den täglich tausendfach registrierten Spam- und Malware-Domains entgegenwirken.

Nach Angaben von ISC wurde die DoS-Schwachstelle bislang noch nicht für echte Angriffe verwendet. Jedoch habe das Unternehmen einige DNSSEC-Validators beobachtet, die die verursachenden Antworten an BIND-Server senden und damit ungewollt den Absturz auslösen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE