Neueste Erkenntnisse zeigen, dass BIND 9, eine weit verbreitete DNS-Server-Software, anfällig für zwei kritische Sicherheitslücken ist: CVE-2023-4236 und CVE-2023-3341. Wenn diese Schwachstellen ausgenutzt werden, könnten sie erhebliche Auswirkungen haben, weshalb dringendes Handeln geboten ist.
Die Schwachstelle CVE-2023-4236 betrifft das DNS-over-TLS-Abfragehandling in BIND 9. Bei hoher Abfragelast kann es zu einem unerwarteten Abbruch kommen. Glücklicherweise hat dieser Fehler keinen Einfluss auf den DNS-over-HTTPS-Code.
Die zweite Schwachstelle, CVE-2023-3341, bezieht sich auf den Steuerkanalcode innerhalb von BIND 9. Angreifer könnten einen Stack-Erschöpfungsfehler ausnutzen, um Störungen zu verursachen.
Anwender von BIND 9 sollten umgehend Maßnahmen ergreifen, um diese Anfälligkeiten zu beheben. Das ISC (Internet Systems Consortium), das hinter BIND steht, hat Lösungen bereitgestellt:
Für CVE-2023-4236:
- Upgrade auf BIND 9.18.19 oder BIND Supported Preview Edition 9.18.19-S1.
- DNS-over-TLS-Verbindungen deaktivieren, wenn sie nicht benötigt werden.
Für CVE-2023-3341:
- Upgrade auf BIND 9.16.44, 9.18.19 oder 9.19.17, je nach aktueller Version.
- Steuerkanalverbindungen auf vertrauenswürdige IP-Bereiche beschränken.
Bislang wurden keine aktiven Exploits für diese Schwachstellen gemeldet. Dennoch sind proaktive Maßnahmen entscheidend.
Das ISC dankt den Personen, die diese Schwachstellen verantwortungsbewusst gemeldet haben. Robert Story vom USC/ISI DNS Root Server Operations Team und Eric Sesterhenn von X41 D-Sec GmbH identifizierten die jeweiligen Lücken.