image

Ook CERT NL waarschuwt voor BIND lek

dinsdag 4 april 2000, 00:57 door Redactie, 0 reacties

CERT NL schrijft:
"Uit een door SURFnet intern uitgevoerd onderzoekje is gebleken dat een
grote
hoeveelheid nameservers van SURFnet klanten versies van Bind
(http://www.isc.org/products/BIND/) draaien die beveiligingslekken
bevatten. Deze beveiligingslekken kunnen resulteren in een geslaagde "root
compromise" van uw nameserver. Gezien het belang van uw nameserver voor de
internet infrastructuur van uw instelling adviseren wij u om, indien uw
nameserver met behulp van Bind geimplementeerd is, zo snel mogelijk uw
nameserver te voorzien van de laatste versie van Bind.

Het CERT-Coordination Center heeft inmiddels melding gemaakt van een sterk
toegenomen aantal root compromises als gevolg van dit beveiligingslek:
http://www.cert.org/current/current_activity.html#bind

Gezien de voortvarendheid waarmee hackers doorgaans te werk gaan wanneer
een
exploit beschikbaar is kunt u er gevoeglijk van uit gaan dat uw nameserver,
indien niet de juiste versie gedraaid wordt, vroeg of laat gehacked zal
worden.

**Welke versies van bind zijn kwetsbaar?
Voor de 8.x serie geldt dat alle versies voor 8.2.2p5 kwetsbaar zijn. De
4.x serie is kwetsbaar voor versie 4.9.7.

**Snel de versie van "onze" bind bekijken?

Wanneer u gebruik maakt van het nslookup commando in een unix shell:

% nslookup

> server

> set type=txt

> set class=chaos

> version.bind.

Bijvoorbeeld:

> server ns1.surfnet.nl

Default Server: ns1.surfnet.nl

Address: 192.87.106.101

> set type=txt

> set class=chaos

> version.bind.

Server: ns1.surfnet.nl

Address: 192.87.106.101

VERSION.BIND text = "8.2.2-P5"


**Wat adviseert CERT-NL?

-upgrade zo snel mogelijk naar 8.2.2-P5

-indien dit (u gebruikt 4.x en de overgang naar 8.x kost op dit moment teveel tijd) voor u op dit moment niet mogelijk is dient u minimaal versie
4.9.7 te draaien.

De volledige tekst van de CERT-CC security advisory "CA-99-14 Multiple
Vulnerabilities in BIND" is te vinden op:
http://www.cert.org/advisories/CA-99-14-bind.html

Deze advisory bevat alle details over het beveiligingslek en de remedie. ".

Wat ik mis is het advies om als preventieve maatregel tegen de gevolgen van ongetwijfeld toekomstige lekken named als een aparte user (en dus NIET als root) en liefst nog chrooted te draaien.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.