Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

CISA warnt vor schweren Sicherheitslücken in beliebter DNS-Software

Das Internet Systems Consortium (ISC) hat Patches veröffentlicht, um mehrere Sicherheitslücken in der Berkeley Internet Name Domain (BIND) 9 DNS-Software zu beheben. Diese könnten ausgenutzt werden, um eine Denial-of-Service (DoS) auszulösen.

Bedrohungen
Lesezeit 1 Min.

„Ein Cyberbedrohungsakteur könnte eine dieser Schwachstellen ausnutzen, um eine Denial-of-Service-Bedingung zu verursachen“, so die U.S. Cybersecurity and Infrastructure Security Agency (CISA) in einer Mitteilung. Hier die Liste der vier Schwachstellen:

  • CVE-2024-4076 (CVSS-Score: 7.5) – Aufgrund eines Logikfehlers könnten Abfragen, die veraltete Daten erforderten und in lokalen autoritativen Zonendaten nachschlagen mussten, zu einem Assertionsfehler führen.
  • CVE-2024-1975 (CVSS-Score: 7.5) – Das Validieren von DNS-Nachrichten, die mit dem SIG(0)-Protokoll signiert wurden, könnte eine übermäßige CPU-Belastung verursachen und zu einer Denial-of-Service-Bedingung führen.
  • CVE-2024-1737 (CVSS-Score: 7.5) – Es ist möglich, eine übermäßig große Anzahl von Ressourceneintragstypen für einen gegebenen Eigentümernamen zu erstellen, was die Datenbankverarbeitung verlangsamt.
  • CVE-2024-0760 (CVSS-Score: 7.5) – Ein bösartiger DNS-Client, der viele Anfragen über TCP sendet, aber die Antworten nie liest, könnte dazu führen, dass ein Server für andere Clients langsam oder gar nicht reagiert.

Das erfolgreiche Ausnutzen dieser Schwachstellen könnte dazu führen, dass eine Instanz unerwartet beendet wird, verfügbare CPU-Ressourcen aufgebraucht werden, die Abfrageverarbeitung um den Faktor 100 verlangsamt wird und der Server nicht mehr reagiert. Die Schwachstellen wurden in BIND 9 Versionen 9.18.28, 9.20.0 und 9.18.28-S1 behoben, die Anfang Juli veröffentlicht wurden. Es gibt keine Hinweise darauf, dass eine der Schwachstellen bisher im öffentlichen Internet ausgenutzt wurde.

Die Offenlegung kommt wenige Monate, nachdem das ISC eine andere, sehr ähnliche Schwachstelle in BIND 9 behoben hat. Sie trägt die Bezeichnung KeyTrap (CVE-2023-50387, CVSS-Score: 7.5), und konnte dazu genutzt werden, CPU-Ressourcen zu erschöpfen und DNS-Resolver zum Stillstand zu bringen. Im Ergebnis führte auch das zu einer Denial-of-Service-Bedingung.

Diesen Beitrag teilen: