Debians sikkerhedsbulletin

DSA-2208-1 bind9 -- lammelsesangreb

Rapporteret den:
30. mar 2011
Berørte pakker:
bind9
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-0414.
Yderligere oplysninger:

Man opdagede at BIND, en DNS-server, indeholdt en kapløbstilstand, når den behandlede zoneupdateringer på en autoritativ server, enten gennem dynamiske DNS-opdateringer eller inkrementiel zoneoverførsel (IXFR). Sådan en opdatering, mens en forespørgsel blev behandlet, kunne medføre deadlock og lammelsesangreb. (CVE-2011-0414)

Desuden løser denne opdatering en fejl i forbindelse med behandling af nye DNSSEC DS-poster via en caching resolver, hvilket måske kunne føre til navneopløsningsfejl i den delegerede zone. Hvis DNSSEC-validering var aktiveret, kunne problemet medføre at domæner som slutter på .COM ville blive utilgængelige, når en DS-post hørende til .COM blev føjet til DNS-rodzonen den 31. marts 2011. En server hvor fejlen ikke er rettet, som er påvirket af dette problem, kan genstartes, hvorved navneopløsningen af .COM-domæner genaktiveres. Omgåelsen af problemet gælder også versionen i den gamle stabile distribution.

Opsætninger, som ikke anvender DNSSEC-valideringer, er ikke påvirkede af problem nummer to.

I den gamle stabile distribution (lenny), er problemet i forbindelse med DS-poster rettet i version 1:9.6.ESV.R4+dfsg-0+lenny1. (CVE-2011-0414 påvirker ikke versionen i lenny.)

I den stabile distribution (squeeze), er dette problem rettet i version 1:9.7.3.dfsg-1~squeeze1.

I distribution testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1:9.7.3.dfsg-1.

Vi anbefaler at du opgraderer dine bind9-pakker.