Af Torben B. Sørensen, 26/10/16
Skønt udviklerne af BIND lukkede et alvorligt sikkerhedshul for tre år siden, cirkulerer der stadig versioner af programmet, der ikke er rettet. Nogle af dem spredes via Linux-distributioner.
Angribere kan udnytte sårbarheden, CVE-2016-2848, til at sætte en navneserver ud af drift.
Internet Systems Consortium, der udvikler BIND, lukkede hullet i maj 2013. Men de har for nylig opdaget, at der er en række BIND-versioner på markedet, der bygger på en tidligere version af kildekoden.
Red Hat oplyser, at Red Hat Enterprise Linux 7 ikke er sårbar, og at de har udsendt rettelser til version 5 og 6. Der er også kommet opdateringer til Debian, SUSE Linux Enterprise og Ubuntu.
Anbefaling
Opdater til en rettet version af BIND.
Links
BIND Flaw Patched in 2013 Affects Linux Distros, artikel fra SecurityWeek
CVE-2016-2848 has been disclosed
CVE-2016-2848: A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date