Es gibt eine neue Sicherheitsl\u00fccke, die Nameserver, die auf Bind oder Unbound basieren, bedroht. Diese L\u00fccke, die als KeyTrap bezeichnet wird, kann dazu f\u00fchren, dass Nameserver legitime Anfragen ablehnen. Deutsche Entdecker haben diese L\u00fccke entdeckt und sie erm\u00f6glicht es Angreifern, aus der Ferne auf Resolver zuzugreifen und die L\u00fccke auszunutzen.<\/p>\n
Resolver sind DNS-Server, die f\u00fcr die Namensaufl\u00f6sung zust\u00e4ndig sind und beispielsweise in Unternehmensnetzwerken oder bei Internetdienstanbietern eingesetzt werden. Ein bekannter \u00f6ffentlicher Resolver ist der kostenlose Dienst von Google, der unter der IP-Adresse 8.8.8.8 erreichbar ist.<\/p>\n
Um diese Schwachstelle auszunutzen, muss der Angreifer einen verwundbaren Resolver finden, der \u00fcber das Internet erreichbar ist und eine bestimmte Version von Bind oder Unbound verwendet. Anschlie\u00dfend beauftragt der Angreifer den Resolver damit, einen vorbereiteten und mittels DNSSEC signierten Domainnamen aufzul\u00f6sen, was zu einer hohen CPU-Auslastung auf dem Server f\u00fchrt und m\u00f6glicherweise zu einer Dienstverweigerung (DoS).<\/p>\n
Die Ursache f\u00fcr KeyTrap liegt in einer speziellen Kombination von Schl\u00fcsseln, DNS-Eintr\u00e4gen und kryptographischen Signaturen, die den Server dazu veranlassen, wertvolle Taktzyklen f\u00fcr die \u00dcberpr\u00fcfung der Antwort zu verschwenden. Eine weitere Schwachstelle mit der Bezeichnung CVE-ID CVE-2023-50868 zielt ebenfalls auf dasselbe Problem ab. Hier liegt die Ursache in der kostspieligen Berechnung von NSEC3-Hashwerten.<\/p>\n
W\u00e4hrend Unbound nur von den KeyTrap- und NSEC3-L\u00fccken betroffen ist, hat das Unternehmen ISC, das hinter dem Bind-Nameserver steht, auch weitere Probleme identifiziert. Einige dieser Sicherheitsl\u00fccken betreffen sowohl Resolver als auch autoritative Server, die f\u00fcr die Aufl\u00f6sung einer einzelnen Domain wie .de verantwortlich sind.<\/p>\n
Die f\u00fcnf identifizierten Sicherheitsl\u00fccken haben alle den CVSS-Wert 7,5 und werden daher als hochriskant eingestuft. Eine dieser L\u00fccken f\u00fchrt zu einer Denial-of-Service-Situation, bei der Resolver und autoritative Server einen hohen CPU-Verbrauch aufweisen, wenn sie gro\u00dfe DNS-Anfragen verarbeiten. Zwei weitere L\u00fccken f\u00fchren zu einem Ausfall der Bind-Resolver, indem der Serverprozess abst\u00fcrzt. Eine weitere Methode der Dienstverweigerung besteht darin, dass der Arbeitsspeicher aufgrund einer fehlgeschlagenen Cache-S\u00e4uberungsaktion \u00fcberf\u00fcllt wird.<\/p>\n
Die Entwickler von Unbound haben diese DNSSEC-Fehler in Version 1.19.0 behoben. Die behobenen Versionen von Bind tragen die Nummern 9.16.48, 8.18.24 und 9.19.21 (f\u00fcr Kunden der kommerziellen Variante in der -S1-Ausgabe verf\u00fcgbar).<\/p>\n
Es wird empfohlen, dass DNS-Administratoren schnell handeln und die entsprechenden Updates vornehmen. Im vergangenen Jahr hatte Bind bereits mit DoS-Problemen zu k\u00e4mpfen, w\u00e4hrend Unbound bisher keine derartigen Probleme aufwies.<\/p>\n
F\u00fcr Personen, die mit den Begriffen DNS, DNSSEC, Resolver und NSEC3 nicht vertraut sind, gibt es die M\u00f6glichkeit, ihre Kenntnisse in einem Artikel mit dem Titel Admin-Know-how: Eine Erkl\u00e4rung des Domain Name Systems zu vertiefen.<\/p>\n
Schlagw\u00f6rter: KeyTrap + DNSSEC + Googles<\/p>\n","protected":false},"excerpt":{"rendered":"
Es gibt eine neue Sicherheitsl\u00fccke, die Nameserver, die auf Bind oder Unbound basieren, bedroht. Diese L\u00fccke, die als KeyTrap bezeichnet wird, kann dazu f\u00fchren, dass Nameserver legitime Anfragen ablehnen. Deutsche Entdecker haben diese L\u00fccke entdeckt und sie erm\u00f6glicht es Angreifern, aus der Ferne auf Resolver zuzugreifen und die L\u00fccke auszunutzen....<\/p>\n","protected":false},"author":4,"featured_media":4676,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-4677","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4677"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/4677\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/4676"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}