Megbénítható névkiszolgálás

Egyre több biztonsági szakember ad hangot aggodalmának a BIND sebezhetősége miatt, ugyanis az egy intenzívebb támadássorozat esetén jelentős hatást gyakorolhat a névkiszolgálásra.
 

A DNS-szerverekkel kapcsolatban felmerülő sérülékenységek az esetek többségében meglehetősen nagy visszhangot váltanak ki, ami persze teljesen érthető, hiszen kritikus fontosságú rendszerek válhatnak kiszolgáltatottá. Ezúttal sincs ez másként, ugyanis a BIND múlt héten bejelentett biztonsági rése egyre több kérdést vet fel. A DNS-kiszolgálók üzemeltetőinek pedig különösen célszerű résen lenniük.

A BIND kapcsán egy szolgáltatásmegtagadási támadásokra lehetőséget adó biztonsági hibára derült fény, amely nem kizárólag a BIND-ra jelent veszélyt, hanem minden olyan szolgáltatásra, alkalmazásra, amelyek az érintett rendszereken futnak. A sebezhető szoftver ugyanis speciálisan összeállított hálózati kérések feldolgozásakor képes felemészteni az összes rendelkezésre álló szabad memóriát. Ez pedig végül a kiszolgálók összeomlását vagy megbénulását eredményezheti. Mivel a legszélesebb körben elterjedt DNS-szerverekről beszélünk, ezért a kockázatokat is ennek megfelelően kell kezelni.

"E körülmények szándékos kihasználása szolgáltatásmegtagadáshoz vezethet minden olyan autoritatív és rekurzív névkiszolgálón, amelyek az érintett BIND verziók valamelyikét futtatják" - nyilatkozta az ISC, amely egyébként a sérülékenységet kritikus veszélyességűnek minősítette.

Kockázatcsökkentés

A sérülékenység kihasználására alkalmas exploitok sorban készülnek, igaz szerencsére ezekről egyelőre csak a biztonsági kutatók háza tájáról lehetett hallani. Ők viszont aggodalmuknak adtak hangot amiatt, hogy ezeket az exploitokat korántsem időigényes és nehéz kifejleszteni az elérhetővé vált adatok alapján, így fennáll annak a veszélye, hogy a kiberbűnözés is lépni fog.

A BIND fejlesztői kidolgoztak egy olyan technikát, amivel csökkenthetők, illetve kiiktathatók a biztonsági hibából eredő kockázatok. Ehhez azonban ki kell kapcsolni a BIND-ban a reguláris kifejezések támogatását, amit a config.h állomány manuális módosításával, majd egy újrafordítással lehet megtenni. Ugyanakkor a fejlesztők kiadták a BIND 9.8.4-P2 és 9.9.2-P2 verzióit, amikben alapértelmezetten kikapcsolt a reguláris kifejezések támogatása. Majd hangsúlyozták, hogy a BIND 10-ben a sérülékenység nem található meg, de azt is jelezték, hogy a BIND 10-re való átállás nem minden esetben a legjobb megoldás. Emellett közölték, hogy a BIND Windows kompatibilis kiadását sem sújtja a fenti rendellenesség.