Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Submitter: Icingdeath

Een bug in BIND 9 maakt het voor hackers mogelijk om dns-servers te laten crashen. Het Internet Systems Consortium, die de opensource dns-software beheert, heeft inmiddels patches uitgebracht om de fout te repareren.

BIND, oftewel Berkeley Internet Name Domain, is de meestgebruikte software voor dns-servers. Versie 9 van BIND crasht echter als het een nog niet nader gespecificeerd netwerkverzoek probeert te verwerken en een foutmelding in de logbestanden probeert weg te schrijven. De bug is in de logbestanden herkenbaar aan de tekst 'INSIST(! dns_rdataset_isassociated(sigrdataset))'. Door de crash kan de dns-server vervolgens geen bezoekers meer doorsturen naar het juiste adres omdat BIND weigert om nog queries te verwerken.

Het Internet Systems Consortium, de organisatie die de BIND-software onderhoudt, meldt dat serverbeheerders die de opensource dns-software draaien snel een patch dienen te installeren om de bug in BIND 9 te verhelpen. Volgens ISC is er extra haast geboden omdat de fout in de software door hackers misbruikt kan worden om dns-servers plat te leggen. In de Verenigde Staten zouden al dergelijke aanvallen met succes zijn uitgevoerd. Potentieel kan zelfs het verkeer op internet flink verstoord worden als er op grote schaal aanvallen plaatsvinden op BIND 9-servers.

Moderatie-faq Wijzig weergave

Reacties (35)

Ik zag vandaag op Ubuntu al een nieuwe versie voorbij komen, maar uit het artikel wordt niet duidelijk of de bug al opgelost is (en ik nu dus de goede versie heb), of dat ik binnenkort wéér een update moet installeren. Hoe dan ook, het zal er vanzelf wel komen, wat werkt dat toch mooi :)
De laatste versie die Ubuntu heeft gedistribueerd (die van vandaag dus), bevat inderdaad de patch voor deze issue.
https://launchpad.net/ubuntu/+source/bind9/+changelog
Dit is dus inderdaad hiermee opgelost volgens de changelog.
Daar kan dit artikel ook geen antwoord op geven. Aangezien BIND niet veel met Ubuntu te maken heeft.
Mijn punt is dan ook meer dat er niks over een oplossing in het artikel staat, er staat slechts "Het Internet Systems Consortium, de organisatie die de BIND-software onderhoudt, meldt dat serverbeheerders die de opensource dns-software draaien snel een patch dienen te installeren om de bug in BIND 9te verhelpen."

Dit kan betekenen dat de bug al opgelost is, of dat die er heel binnenkort aan zit te komen. Als hij al opgelost is ga ik er van uit dat Ubuntu zo aardig geweest is om meteen de nieuwe versie te sturen, zo niet, dan krijg ik waarschijnlijk binnenkort weer een update.

Ik heb ondertussen zelf de bron er maar even bij gepakt, het lijkt er op dat de fix al verwerkt is in de nieuwste versie.
BIND is toch gewoon een pakket in Ubuntu-server als je wil?
ja, maar bind is een package in elke linux-distro, dus niet erg ubuntu-specifiek :)
Als ik dit lees lijkt het toch echt opgelosg

heeft inmiddels patches uitgebracht om de fout te repareren.
Het Internet Systems Consortium heeft inmiddels patches uitgebracht om de fout te repareren.
Als ik dat lees, lees ik niets over Ubuntu. Dat ze een patch hebben uitgebracht is leuk voor de mensen die zelf compilen. De rest moet wachten op een patch van hun distro.
BIND is voor Ubuntu een package (dat geupdate kan worden, dus), en zit niet gecompileerd bij een uitgave van de distro. Of zijn alle programma's die jij vandaag de dag gebruikt standaard voorzien bij de installatie van het OS dat je gebruikt?
ubuntu is een binary distributie, oftewel, alle packages die je installeert zijn al gecompileerd. De vraag is nu, of de nieuwe packages die bij Ubuntu, en ook bij Debian die vandaag langskwamen al gecompileerd zijn met de security patch erin.
Ik zag 3 updates bind met 1 high security update in ubunu! ;)
Ja, bij de meeste Linux distributies zijn (bijna) alle programma's die je gebruikt standaard voorzien bij de installatie van het OS.
De afhankelijkheid van BIND is momenteel sowieso te groot. Men zou beter af zijn door risico te spreiden door verschillende DNS software te gebruiken als PowerDNS, NSD of het lekkere snelle Unbound. (Leuke woordspeling overigens die laatste)

Ernstige bug in BIND en (gokje hoor) 90% van de DNS servers zijn in gevaar.
Ik hoop toch, dat de meeste sysadmins direct hun BIND hebben geupdate.

Ik heb vandaag bij zowel Ubuntu, Debian als Gentoo in ieder geval een update langs zien komen (en uiteraard uitgevoerd) voor BIND9
Hoe zit het met routertjes enz bij de mensen thuis? Die doen vaak ook een stukje DNS werk (lokaal netwerk).
Zijn die ook kwetsbaar?
Deze routers zouden dan BIND moeten draaien, terwijl huis-tuin-en-keuken routertjes eerder iets als Dnsmasq gebruiken. Daarbij is dat stukje DNS werk vaak nog afgeschermd door de NAT waar ze achter zitten, dus het zal zo'n vaart wel niet lopen mochten ze al op BIND draaien.
Is het niet zo dat fr huis tuin keuken routers juist geen dns hebben, maar de queries forwarden naar de dns van de provider?
Ubuntu komt nu pas met een update?

Deze bug is al sinds 2009 bekend (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0696. Ik had hem diezelfde dag nog gefixed en ge-update in Fortress Linux.

De exploit code is trouwens al lang bekend.


Maar een goede server beheerder heeft PSMON (Process Monitoring Daemon) op zijn server draaien om automatisch een gecrashed process opnieuw op te starten en de crash te loggen.


In ieder geval zal elke Bind gebruiker dit artikel van de Sans Institute eens moeten lezen.

http://download.fortressl...alternatives-bind_567.pdf

Bij twijfel kan je ook overstappen naar MaraDNS die een stuk veiliger is.

[Reactie gewijzigd door 316234 op 18 november 2011 12:52]

Dat is een compleet andere bug... Het gaat hierom: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4313 (en nee, daar staat op dit moment nog niets ;))

[Reactie gewijzigd door BrZ op 18 november 2011 09:46]

De huidige patch vermelding is i.d.d nieuwer, maar de foutieve code wordt al behandeld in die oude patch uit 2009. Zoek maar op verwijzingen naar de patchlink in Google. Dan kom je vanzelf posts tegen die dezelfde fouten/meldingen bevatten.

Waarom deze bug weer terug gekomen is in de laatste BIND, is mij dan ook een raadsel.

Het is maar goed dat ik alle broncode audit voor Fortress Linux, anders zaten nu een aantal van mijn klanten met de gebakken peren :)

Modded als off-topic? Kan ik terug zien wie welke mod gegeven heeft?

[Reactie gewijzigd door 316234 op 18 november 2011 14:49]

Dat lijkt me onjuist. Dit artikel gaat over een nieuw lek in BIND, en heeft niks met een oud lek uit 2009 te maken, of met Ubuntu die laat met een update zou komen.
Een aantal root servers draait op NSD, dat als alternatief voor BIND ontwikkeld is zodat als er een lek in BIND gevonden wordt, het gevaar beperkt blijft tot een deel van de root servers zolang deze niet gepatcht zijn.

"The intention of this development is to add variance to the "gene pool" of DNS implementations used by higher level name servers and thus increase the resilience of DNS against software flaws or exploits."

[Reactie gewijzigd door Icingdeath op 17 november 2011 18:09]

De bug geldt dus voor resolvers, servers die mensen op hun (thuis) computer instellen. Servers die verder gesloten zijn voor de rest van de wereld, en enkel als authoritive DNS fungeren voor een aantal domeinen hebben geen last van de bug.
Ernstige bug in BIND 9 laat dns-servers crashen.

-> Een bug in BIND 9 maakt het voor hackers mogelijk om dns-servers te laten crashen.

-> Door de crash kan de dns-server vervolgens geen bezoekers meer doorsturen naar het juiste adres omdat BIND weigert om nog queries te verwerken.

Wat is het nou, de bug die servers laat crashen, of is het door de bug mogelijk om voor hackers de server te laten crashen?
Het is de DNS daemon die gecrasht wordt, waardoor de BIND server functionaliteit compleet verdwijnt.

De rest van de server is nog gewoon aanspreekbaar via het IP.

Dit probleem is klein voor local handlers (een VPS o.i.d.), maar systemen zoals DynDNS is natuurlijk heel anders, dan zijn het complete DNS-hubs die er uit knallen, waardoor het hele internet voor de DynDNS gebruiker onbruikbaar is geworden.

Het is maar om wat voor service het precies gaat.

Ik heb een kleine test op mijn eigen VPS, en de DNS overloaden kan heel simpel opgelost worden met een restart van de daemon. (Restart NA update trouwens, m'n VPS is weer zo safe als ik het kan krijgen).
In de tussentijd had ik dus nog steeds gewoon toegang tot SSH en zelfs via direct-IP aanroep kreeg ik de base-website (yay, witte pagina met "hello sandbox!") terug.
Eigenlijk is het "hangen", het server proces verdwijnt namelijk niet (crash) maar stopt met het verwerken van nieuwe aanvragen.
Technisch gesproken correct, uiteraard.
Maar toch denk ik dat vele sysadmins met mij, het "gewoon" een crash zullen noemen.

Of een zombified process. Ook nog een goeie optie natuurlijk.

Crash is het meest gangbare woord dat iedereen zal begrijpen, dus ach, of't nou hangt, crasht of zombie't... het werkt sowieso niet meer :9
Hij komt in een oneindige loop (voor de programmeurs! :Y) ;)
[miereneukers mode]
Crashing is een groot woord, meer maakt server onbereikbaar..
De bind daemon zal wel crashen maar dat houd niet in dat ze een BSD krijgen ofzo
[/miereneukers mode]
Nee, maar het is een effictieve DOS-attack. Voor de gebruiker is de server onbruikbaar
Je bedoelt BSoD, wellicht. En ja, dat heet crashen als een programma er uit knalt.
Volgens mij klapt het programma er niet mee. Maar kan door deze aanval alleen niets meer verwerken. Programma draaid nog. Herstart het proces en werkt weer.
Het woord server is niet ondubbelzinnig. Aangezien DNS is opgezet volgens een client-server model betreft, dus kun je wel degelijk spreken over dat de server crasht.

Echter zien wij een server als ook als een dedigated machine welke taken uitvoert als HTTP, DNS en mail.

Zelfs spreek ik liever over DNS services als het om de software zoals bind gaat en van servers als het de machine zelf betreft.

Maar wij zijn niet onbekend met dubbele woord associaties, denk aan haar (zij haalde haar haardband uit haar haar) en woordspelingen zoals "ik wou dat de afwas af was".

Aangezien hier de context overduidelijk DNS software betreft, hoort een beetje tweaker direct te begrijpen dat server in deze context een service/daemon/process betreft en niet de machine zelf..

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True