Die Sicherheit von BIND
Willkommen in der Security-Kolumne!
Da DawnRazor diese Woche keine Zeit für die Kolumne fand, übernahm ich als sein Co-Author diesen Job.
Jubel Trubel DNS
In letzter Zeit hörte man viel über die DNS-Probleme von Microsoft.
Nicht nur Microsoft, auch andere Firmen waren durch die Bugs geplagt.
So waren Pages nicht abrufbar
oder die DNS-Anfragen wurden
auf falsche Seiten verwiesen.
Wie bereits auf Symlink berichtet wurde,
führte dies dazu, dass Microsoft ihre DNS-Server auf ein 'anderes OS', vermutlich Linux,
umsetzen musste.
Wie sieht es aber bei BIND, der am weitesten verbreiteten DNS-Software aus?
BIND, ist Sicherheit Wunschdenken?
DNS-Spoofing, wie das Verweisen der DNS-Anfragen auf falsche Pages genannt wird, ist mit Sicherheit eine
der gefährlicheren Web-Attacken. Daher gab und gibt es für BIND immer wieder neue Patches,
welche diese Lücke zu schliessen versuchen, welche laut einem
Artikel bei Heise nie ganz zu schliessen sein wird.
Übrigens wird im selben Heise-Artikel von 1997 behauptet, das Problem liege darin, dass sich der Algorithmus zum
Erzeugen der Query-IDs aus dem Source-Code, der frei verfügbar ist, entnehmen läßt.
Auf der Page des Internet Software Consortium
sind die Bugs und die Anfälligkeit der unterschiedlichen BIND-Versionen aufgeführt.
Nach dieser Liste sind Bind-Versionen ab 8.2.3 auf keinen der 12 aufgeführten Angrifsmöglichkeiten anfällig.
In diesem
Heise-Bericht sind die wichtigsten Bugs auf deutsch beschrieben. Ausführlicher und in englischer Sprache
ist das Advisory des CERN.
Einige Sicherheitslücken ermöglichen den unberechtigten Zugriff auf das System.
CERT empfiehlt daher,
dass Benutzer von BIND 4.9.x oder 8.2.x auf BIND 4.9.8, BIND 8.2.3, oder BIND 9.1 upgraden sollen.
Dinosaurier im Web: Raus mit betagten BINDen!
Dank der grundlegenden Überarbeitung des Codes durch Nominum,
unterstützt durch Compaq, Sun und IBM,
scheinen unterdessen die Löcher aber gestopft zu sein. Was viel gravierender scheint, ist die Tatsache,
dass der grösste Teil aller DNS-Servern auf älteren BIND-Versionen läuft.
Im Dezember 2000 gab Heise eine Warnung heraus,
dass nach einem Test der Universität Bonn noch viele Domains mit der sicherheitskritischen Version BIND 4.9.6 arbeiten.
Nominum drängt daher darauf, dass BIND-Benutzer
so rasch als möglich auf die Version 9.1 updaten.
Pro-Linux berichtet, dass über 90% der DNS-Server
im Internet unter BIND laufen. Weiter wird hier geschrieben, dass die seit Oktober 2000 erhältliche
Version 9.x erst 30.000- bis 40.000-mal heruntergeladen wurde, was einer geschätzten Zahl von fünf Prozent
aller Internet-Domain-Server entspricht. Zur Problematik der schlechten Updatepolitik komme noch das
Gefahrenpotential durch die oftmals schlechte Konfiguration der BIND-Server hinzu.
Wie weiter?
Wer sich über Sicherheitsmeldungen auf dem Laufenden hält und allfällige Bugs sofort patcht,
hat mit BIND bestimmt eine recht sichere und flexible DNS-Software. Die Praxis zeigt jedoch,
auch gerade im Hinblick auf Sendmail, dass vielerorts die Sicherheit kein wirklich wichtiges Thema ist.
Daher drängt sich die Frage auf: Wird die schlechte Update-Politik und das schlechte
Sicherheitsverständnis vieler Sysadmins dem Ansehen von Open Source schaden?
Muss standardmässig ein Mechanismus her, der 'faulen' Admins das Patchen von Sicherheitslöchern abnimmt?
Bin gespannt auf eine tiefschürfende Diskussion.
PS: Mich würde noch interessieren, was ihr von der BIND-Alternative
des Daniel J. Bernstein haltet.
|
