Univention Bugzilla – Bug 20309
bind9: Mehrere Sicherheitslücken (2.4)
Last modified: 2016-08-04 17:09:25 CEST
+++ This bug was initially created as a clone of Bug #20308 +++ Mehrere Lücken in Bind, die aber die UCS-Einsatzszenarien nicht betreffen, daher geringe Priorität: CVE-2009-4022: Fehlerhafte DNSSEC-Validierung CVE-2010-0097: Cache Poisoning im DNSSEC-Einsatz CVE-2010-0290: Cache Poisoning im DNSSEC-Einsatz CVE-2010-0382: Cache Poisoning CVE-2010-3762: Denial of Service im DNSSEC-Einsatz
- Denial of Service durch RRSIG-Records (CVE-2010-3613) - Denial of Service bei DNSSEC-Validierung (CVE-2010-3614) - Fehlerhafte ACL-Verarbeitung bei ACLs auf Zonendaten (CVE-2010-3615) - Denial of Service bei DNSSEC-Validierung (CVE-2010-3762)
Denial of Service bei Zonentransfers (CVE-2011-0414)
\item DNSSEC-Denial of Service (CVE-2011-1910)
\item Denial of Service in Bind (CVE-2011-4313) Zumindest diese Lücke müsste korrigiert werden, die übrigen DNSSEC-Lücken sind vermutlich nicht zurückportierbar ohne auf eine aktuellere Bind-Version zu wechseln.
Diese Lücken werden für UCS 2.4 nicht korrigiert; sie betreffen nur DNSSEC, das in UCS 2.4 nicht unterstützt wird. Für vollständigen DNSSEC-Support müsste wie in Debian auf 9.6 aktualisiert werden: Fehlerhafte DNSSEC-Validierung (CVE-2009-4022, CVE-2010-0382) Cache Poisoning im DNSSEC-Einsatz (CVE-2010-0097) Cache Poisoning im DNSSEC-Einsatz (CVE-2010-0290) Denial of Service im DNSSEC-Einsatz (CVE-2010-3762) Denial of Service bei DNSSEC-Validierung (CVE-2010-3614) Denial of Service bei DNSSEC-Validierung (CVE-2010-3762)
(In reply to comment #2) > Denial of Service bei Zonentransfers (CVE-2011-0414) Diese Lücke betrifft nur Bind 9.7.x
(In reply to comment #1) > - Fehlerhafte ACL-Verarbeitung bei ACLs auf Zonendaten (CVE-2010-3615) Diese Lücke betrifft nur Bind 9.7.x
(In reply to comment #5) > Diese Lücken werden für UCS 2.4 nicht korrigiert; sie betreffen nur DNSSEC, das > in UCS 2.4 nicht unterstützt wird. Für vollständigen DNSSEC-Support müsste wie > in Debian auf 9.6 aktualisiert werden: > > Fehlerhafte DNSSEC-Validierung (CVE-2009-4022, CVE-2010-0382) > Cache Poisoning im DNSSEC-Einsatz (CVE-2010-0097) > Cache Poisoning im DNSSEC-Einsatz (CVE-2010-0290) > Denial of Service im DNSSEC-Einsatz (CVE-2010-3762) > Denial of Service bei DNSSEC-Validierung (CVE-2010-3614) > Denial of Service bei DNSSEC-Validierung (CVE-2010-3762) Ebenso Denial of Service durch RRSIG-Records (CVE-2010-3613)
Der Patch für CVE-2011-4313 wurde aus https://www.isc.org/software/bind/96-esv-r5-p1 extrahiert und für 9.5 angepasst. Unsere Bind-Version ist leider eine Zwischenversion zwischen den 9.6 Longterm-Branches und dem 9.4 Longterm-Branch... ucs-test-dns war erfolgreich (der "service records"-Test schlägt auch mit der Standard 2.4 fehl) Changelog und next.txt wurden ergänzt.
Verified: * Die extrahierten Patches sehen korrekt aus * bind9 ist per cherrypick nach sec2.4-7 übernommen und gebaut * 061_CVE-2011-4313-[1-3].patch wurden beim Paketbau angewendet * Installation i386 und amd64 OK * Funktionstest per ucs-test-dns vollständig OK * Changelog und next.txt OK