Für das Open-Source-DNS-Programmpaket BIND hat das Internet Systems Consortium (ISC) neue Versionen veröffentlicht. Diese beinhalten auch Security Fixes gegen zwei Sicherheitslücken, vor denen das CERT des BSI (CERT-Bund) in einem Sicherheitshinweis warnt.

Anonyme Angreifer könnten laut CERT-Bund die Lücken mit den Kennungen CVE-2018-5743 und CVE-2019-6467 aus der Ferne für Denial-of-Service-Angriffe missbrauchen. Nach Angaben sei das Sicherheitsrisiko hoch.

Die BIND-Versionsreihen 9.11.x (Versionen vor 9.11.7) und 9.14.x (Versionen vor 9.14.2) sind von CVE-2018-5743 betroffen. 9.14.x ist zusätzlich auch noch von der zweiten Lücke CVE-2019-6467 betroffen.

Auf der Webseite des ISC stehen die neuen, abgesicherten Versionen zum Download bereit. Den Release-Notes zu Version 9.11.7 beziehungsweise 9.14.2 sind weitere Details zu entnehmen.

Linux-Usern wird empfohlen, Ausschau nach aktualisierten bind/bind9-Packages und Sicherheitshinweisen für ihre Distribution zu halten. Mittlerweile gibt diese unter anderem für Debian (CVE-2018-5743 / CVE-2019-6467), Red Hat (CVE-2018-5743 / CVE-2019-6467), SUSE (CVE-2018-5743 / CVE-2019-6467) und Ubuntu (CVE-2018-5743 / CVE-2019-6467).

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE