Internet Systems Consortium vyzývá uživatele DNS serveru BIND, aby
ochránili své servery a ihned nainstalovali aktualizaci, která
opravuje bezpečnostní chybu.
BIND 9 má ten problém, že když má v mezipaměti uložené neplatné
záznamy a dorazí další speciální požadavek, server (konkrétně
překladač adres – resolver) může zhavarovat. Jedná se potenciálně o
zero day chybu, v Německu, Francii a USA již byly možná zaznamenány
útoky nebo alespoň pády serverů. ISC rozhodně doporučuje aktualizaci.
Zatím není jasné, zda zranitelnost lze zneužít nejen k vyřazení
serveru/odmítnutí služby, ale i ke vzdálenému spuštění kódu (to se
zatím nepotvrdilo) a manipulaci se serverem.
Záplata má spíše dočasnou povahu, než bude problém blíže prozkoumán;
opravný kód má 2 části a měl by předcházet jak vracení neplatných
záznamů, tak i zhavarování. ISC ale zatím pořádně zatím neví, jak se
vlastně neplatné záznamy do mezipaměti dostanou („unidentified network
event“).
Pro útočníky bývají zranitelnosti v systémech DNS darem z nebe,
účinnost phishingu je v případě, že v adresním řádku prohlížeče se
zobrazuje regulérní adresa např. banky, přirozeně velmi vysoká.
Popis problému a řešení na webu ISC.
