Ernstige bug in BIND 9 laat dns-servers crashen

Een bug in BIND 9 maakt het voor hackers mogelijk om dns-servers te laten crashen. Het Internet Systems Consortium, die de opensource dns-software beheert, heeft inmiddels patches uitgebracht om de fout te repareren.

BIND, oftewel Berkeley Internet Name Domain, is de meestgebruikte software voor dns-servers. Versie 9 van BIND crasht echter als het een nog niet nader gespecificeerd netwerkverzoek probeert te verwerken en een foutmelding in de logbestanden probeert weg te schrijven. De bug is in de logbestanden herkenbaar aan de tekst 'INSIST(! dns_rdataset_isassociated(sigrdataset))'. Door de crash kan de dns-server vervolgens geen bezoekers meer doorsturen naar het juiste adres omdat BIND weigert om nog queries te verwerken.

Het Internet Systems Consortium, de organisatie die de BIND-software onderhoudt, meldt dat serverbeheerders die de opensource dns-software draaien snel een patch dienen te installeren om de bug in BIND 9 te verhelpen. Volgens ISC is er extra haast geboden omdat de fout in de software door hackers misbruikt kan worden om dns-servers plat te leggen. In de Verenigde Staten zouden al dergelijke aanvallen met succes zijn uitgevoerd. Potentieel kan zelfs het verkeer op internet flink verstoord worden als er op grote schaal aanvallen plaatsvinden op BIND 9-servers.

Door Dimitri Reijerman

Redacteur

Feedback • 17-11-2011 17:52
35 • submitter: Icingdeath

17-11-2011 • 17:52

35

Submitter: Icingdeath

Lees meer

ISC brengt laatste BIND 10-versie uit en laat ontwikkeling over aan community
ISC brengt laatste BIND 10-versie uit en laat ontwikkeling over aan community Nieuws van 18 april 2014
Ernstige kwetsbaarheid gevonden in BIND voor Unix-systemen
Ernstige kwetsbaarheid gevonden in BIND voor Unix-systemen Nieuws van 28 maart 2013
'Opensource bevat minder fouten dan propriëtaire code'
'Opensource bevat minder fouten dan propriëtaire code' Nieuws van 24 februari 2012
ISC waarschuwt voor kwetsbaarheid in dns-software Bind 9
ISC waarschuwt voor kwetsbaarheid in dns-software Bind 9 Nieuws van 5 juli 2011
ISC waarschuwt voor beveiligingslek in dns-servers
ISC waarschuwt voor beveiligingslek in dns-servers Nieuws van 30 juli 2009
Snellere methode voor dns-cachevervuiling dwingt patchronde af
Snellere methode voor dns-cachevervuiling dwingt patchronde af Nieuws van 9 juli 2008
'Veel dns-systemen nog vatbaar voor aanvallen'
'Veel dns-systemen nog vatbaar voor aanvallen' Nieuws van 20 november 2007
ISC komt met Bind-patch tegen VeriSign's SiteFinder
ISC komt met Bind-patch tegen VeriSign's SiteFinder Nieuws van 17 september 2003
Ernstige onveiligheden in DHCP-software van ISC
Ernstige onveiligheden in DHCP-software van ISC Nieuws van 18 januari 2003
Meer producten en artikelen
Internettoegang Netwerk en systeembeheer Serversoftware Internet Beveiliging Dns Hackers

Reacties (35)

-Moderatie-faq
35
33
19
1
0
4
Wijzig sortering
BRAINLESS01 17 november 2011 17:54
Ik zag vandaag op Ubuntu al een nieuwe versie voorbij komen, maar uit het artikel wordt niet duidelijk of de bug al opgelost is (en ik nu dus de goede versie heb), of dat ik binnenkort wéér een update moet installeren. Hoe dan ook, het zal er vanzelf wel komen, wat werkt dat toch mooi :)
Firesphere @BRAINLESS0117 november 2011 18:09
De laatste versie die Ubuntu heeft gedistribueerd (die van vandaag dus), bevat inderdaad de patch voor deze issue.
https://launchpad.net/ubuntu/+source/bind9/+changelog
Dit is dus inderdaad hiermee opgelost volgens de changelog.
Blokker_1999
@BRAINLESS0117 november 2011 17:57
Daar kan dit artikel ook geen antwoord op geven. Aangezien BIND niet veel met Ubuntu te maken heeft.
BRAINLESS01 @Blokker_199917 november 2011 18:08
Mijn punt is dan ook meer dat er niks over een oplossing in het artikel staat, er staat slechts "Het Internet Systems Consortium, de organisatie die de BIND-software onderhoudt, meldt dat serverbeheerders die de opensource dns-software draaien snel een patch dienen te installeren om de bug in BIND 9te verhelpen."

Dit kan betekenen dat de bug al opgelost is, of dat die er heel binnenkort aan zit te komen. Als hij al opgelost is ga ik er van uit dat Ubuntu zo aardig geweest is om meteen de nieuwe versie te sturen, zo niet, dan krijg ik waarschijnlijk binnenkort weer een update.

Ik heb ondertussen zelf de bron er maar even bij gepakt, het lijkt er op dat de fix al verwerkt is in de nieuwste versie.
RielN @Blokker_199917 november 2011 18:10
BIND is toch gewoon een pakket in Ubuntu-server als je wil?
Verwijderd @RielN17 november 2011 18:27
ja, maar bind is een package in elke linux-distro, dus niet erg ubuntu-specifiek :)
bartje @BRAINLESS0117 november 2011 17:57
Als ik dit lees lijkt het toch echt opgelosg

heeft inmiddels patches uitgebracht om de fout te repareren.
DeTeraarist @bartje17 november 2011 18:47
Het Internet Systems Consortium heeft inmiddels patches uitgebracht om de fout te repareren.
Als ik dat lees, lees ik niets over Ubuntu. Dat ze een patch hebben uitgebracht is leuk voor de mensen die zelf compilen. De rest moet wachten op een patch van hun distro.
Kosty @DeTeraarist17 november 2011 18:58
BIND is voor Ubuntu een package (dat geupdate kan worden, dus), en zit niet gecompileerd bij een uitgave van de distro. Of zijn alle programma's die jij vandaag de dag gebruikt standaard voorzien bij de installatie van het OS dat je gebruikt?
borft @Kosty17 november 2011 20:23
ubuntu is een binary distributie, oftewel, alle packages die je installeert zijn al gecompileerd. De vraag is nu, of de nieuwe packages die bij Ubuntu, en ook bij Debian die vandaag langskwamen al gecompileerd zijn met de security patch erin.
rob12424 @borft17 november 2011 22:42
Ik zag 3 updates bind met 1 high security update in ubunu! ;)
indigo79 @Kosty17 november 2011 21:10
Ja, bij de meeste Linux distributies zijn (bijna) alle programma's die je gebruikt standaard voorzien bij de installatie van het OS.
Shaflic 17 november 2011 17:57
De afhankelijkheid van BIND is momenteel sowieso te groot. Men zou beter af zijn door risico te spreiden door verschillende DNS software te gebruiken als PowerDNS, NSD of het lekkere snelle Unbound. (Leuke woordspeling overigens die laatste)

Ernstige bug in BIND en (gokje hoor) 90% van de DNS servers zijn in gevaar.
Firesphere @Shaflic17 november 2011 18:10
Ik hoop toch, dat de meeste sysadmins direct hun BIND hebben geupdate.

Ik heb vandaag bij zowel Ubuntu, Debian als Gentoo in ieder geval een update langs zien komen (en uiteraard uitgevoerd) voor BIND9
renevanh 17 november 2011 18:42
Hoe zit het met routertjes enz bij de mensen thuis? Die doen vaak ook een stukje DNS werk (lokaal netwerk).
Zijn die ook kwetsbaar?
AndriesLouw @renevanh17 november 2011 18:52
Deze routers zouden dan BIND moeten draaien, terwijl huis-tuin-en-keuken routertjes eerder iets als Dnsmasq gebruiken. Daarbij is dat stukje DNS werk vaak nog afgeschermd door de NAT waar ze achter zitten, dus het zal zo'n vaart wel niet lopen mochten ze al op BIND draaien.
degroot @AndriesLouw17 november 2011 22:52
Is het niet zo dat fr huis tuin keuken routers juist geen dns hebben, maar de queries forwarden naar de dns van de provider?
Verwijderd 18 november 2011 01:07
Ubuntu komt nu pas met een update?

Deze bug is al sinds 2009 bekend (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0696. Ik had hem diezelfde dag nog gefixed en ge-update in Fortress Linux.

De exploit code is trouwens al lang bekend.


Maar een goede server beheerder heeft PSMON (Process Monitoring Daemon) op zijn server draaien om automatisch een gecrashed process opnieuw op te starten en de crash te loggen.


In ieder geval zal elke Bind gebruiker dit artikel van de Sans Institute eens moeten lezen.

http://download.fortressl...alternatives-bind_567.pdf

Bij twijfel kan je ook overstappen naar MaraDNS die een stuk veiliger is.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 16:19]

BrZ @Verwijderd18 november 2011 09:44
Dat is een compleet andere bug... Het gaat hierom: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4313 (en nee, daar staat op dit moment nog niets ;))

[Reactie gewijzigd door BrZ op 27 juli 2024 16:19]

Verwijderd @BrZ18 november 2011 12:51
De huidige patch vermelding is i.d.d nieuwer, maar de foutieve code wordt al behandeld in die oude patch uit 2009. Zoek maar op verwijzingen naar de patchlink in Google. Dan kom je vanzelf posts tegen die dezelfde fouten/meldingen bevatten.

Waarom deze bug weer terug gekomen is in de laatste BIND, is mij dan ook een raadsel.

Het is maar goed dat ik alle broncode audit voor Fortress Linux, anders zaten nu een aantal van mijn klanten met de gebakken peren :)

Modded als off-topic? Kan ik terug zien wie welke mod gegeven heeft?

[Reactie gewijzigd door Verwijderd op 27 juli 2024 16:19]

Verwijderd @Verwijderd18 november 2011 06:58
Dat lijkt me onjuist. Dit artikel gaat over een nieuw lek in BIND, en heeft niks met een oud lek uit 2009 te maken, of met Ubuntu die laat met een update zou komen.
Icingdeath 17 november 2011 18:04
Een aantal root servers draait op NSD, dat als alternatief voor BIND ontwikkeld is zodat als er een lek in BIND gevonden wordt, het gevaar beperkt blijft tot een deel van de root servers zolang deze niet gepatcht zijn.

"The intention of this development is to add variance to the "gene pool" of DNS implementations used by higher level name servers and thus increase the resilience of DNS against software flaws or exploits."

[Reactie gewijzigd door Icingdeath op 27 juli 2024 16:19]

AndriesLouw 17 november 2011 18:26
De bug geldt dus voor resolvers, servers die mensen op hun (thuis) computer instellen. Servers die verder gesloten zijn voor de rest van de wereld, en enkel als authoritive DNS fungeren voor een aantal domeinen hebben geen last van de bug.
Verwijderd 17 november 2011 18:18
Ernstige bug in BIND 9 laat dns-servers crashen.

-> Een bug in BIND 9 maakt het voor hackers mogelijk om dns-servers te laten crashen.

-> Door de crash kan de dns-server vervolgens geen bezoekers meer doorsturen naar het juiste adres omdat BIND weigert om nog queries te verwerken.

Wat is het nou, de bug die servers laat crashen, of is het door de bug mogelijk om voor hackers de server te laten crashen?
Firesphere @Verwijderd17 november 2011 18:30
Het is de DNS daemon die gecrasht wordt, waardoor de BIND server functionaliteit compleet verdwijnt.

De rest van de server is nog gewoon aanspreekbaar via het IP.

Dit probleem is klein voor local handlers (een VPS o.i.d.), maar systemen zoals DynDNS is natuurlijk heel anders, dan zijn het complete DNS-hubs die er uit knallen, waardoor het hele internet voor de DynDNS gebruiker onbruikbaar is geworden.

Het is maar om wat voor service het precies gaat.

Ik heb een kleine test op mijn eigen VPS, en de DNS overloaden kan heel simpel opgelost worden met een restart van de daemon. (Restart NA update trouwens, m'n VPS is weer zo safe als ik het kan krijgen).
In de tussentijd had ik dus nog steeds gewoon toegang tot SSH en zelfs via direct-IP aanroep kreeg ik de base-website (yay, witte pagina met "hello sandbox!") terug.
Henk Poley @Verwijderd17 november 2011 18:57
Eigenlijk is het "hangen", het server proces verdwijnt namelijk niet (crash) maar stopt met het verwerken van nieuwe aanvragen.
Firesphere @Henk Poley17 november 2011 19:13
Technisch gesproken correct, uiteraard.
Maar toch denk ik dat vele sysadmins met mij, het "gewoon" een crash zullen noemen.

Of een zombified process. Ook nog een goeie optie natuurlijk.

Crash is het meest gangbare woord dat iedereen zal begrijpen, dus ach, of't nou hangt, crasht of zombie't... het werkt sowieso niet meer :9
rob12424 @Firesphere17 november 2011 22:47
Hij komt in een oneindige loop (voor de programmeurs! :Y) ;)
Verwijderd 17 november 2011 20:18
[miereneukers mode]
Crashing is een groot woord, meer maakt server onbereikbaar..
De bind daemon zal wel crashen maar dat houd niet in dat ze een BSD krijgen ofzo
[/miereneukers mode]
hackerhater @Verwijderd17 november 2011 21:38
Nee, maar het is een effictieve DOS-attack. Voor de gebruiker is de server onbruikbaar
J.J.J. Bokma @Verwijderd17 november 2011 23:04
Je bedoelt BSoD, wellicht. En ja, dat heet crashen als een programma er uit knalt.
To_Tall @J.J.J. Bokma18 november 2011 00:56
Volgens mij klapt het programma er niet mee. Maar kan door deze aanval alleen niets meer verwerken. Programma draaid nog. Herstart het proces en werkt weer.
Niemand_Anders
@Verwijderd18 november 2011 08:41
Het woord server is niet ondubbelzinnig. Aangezien DNS is opgezet volgens een client-server model betreft, dus kun je wel degelijk spreken over dat de server crasht.

Echter zien wij een server als ook als een dedigated machine welke taken uitvoert als HTTP, DNS en mail.

Zelfs spreek ik liever over DNS services als het om de software zoals bind gaat en van servers als het de machine zelf betreft.

Maar wij zijn niet onbekend met dubbele woord associaties, denk aan haar (zij haalde haar haardband uit haar haar) en woordspelingen zoals "ik wou dat de afwas af was".

Aangezien hier de context overduidelijk DNS software betreft, hoort een beetje tweaker direct te begrijpen dat server in deze context een service/daemon/process betreft en niet de machine zelf..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq