Software::Security
Gravierende Sicherheitslücken in BIND
Nach den Aufsehen erregenden Name-Server-Problemen bei Microsoft wurden nun auch Sicherheitslücken in der DNS-Software BIND (Berkeley Internet Name Domain) bekannt.
Etwa 90 Prozent der Domain-Name-Server im Internet laufen unter diesem System.
Das Computer Emergency Response Team (Cert) der Carnegie Mellon University hat in einem aktuellen Gutachten vor gravierenden Sicherheitslücken in verschiedenen Versionen von BIND gewarnt. In den Releases vor 4.9.2 und 8.2.3 können Angreifer die Server lahm legen oder sich sogar Zugang zum Server verschaffen, auf dem BIND läuft. Da BIND als Namens-Server für Zuordnung von Domain-Namen zu IP-Nummern zuständig ist, führt ein Ausfall gleichzeitig zu einer Blockade der darauf verwalteten Domains.
Einige Kritiker sind der Ansicht, dass BIND, das ursprünglich 1983 von Berkeley-Studenten entwickelt wurde, den heutigen Anforderungen des Internet nicht mehr gewachsen ist. Immerhin haben sich im Lauf der Jahre viele Programmierer der Software angenommen, nachdem die Berkeley Computer Systems Research Group den Code freigegeben hatte - unter anderem waren Entwickler von Compaq, Digital, Intel, NAI, Nortel, Checkpoint und Vixie Enterprises an der Weiterentwicklung beteiligt.
Nachdem das Internet Software Consortium (ISC) das Heft 1997 mit BIND 8 in die Hand genommen hatte, wurde begonnen, die unzähligen Bugs zu beseitigen. Im Auftrag von ISC hat Nominum mit der Unterstützung von Hardwareherstellern wie Compaq, IBM und Sun letzes Jahr angefangen, BIND von Grund auf neu zu schreiben. Nominum empfiehlt, jeden Name-Server auf die Version 9.1 zu aktualisieren, die seit zwei Wochen erhältlich ist.
Nach Angaben von Chief Technology Officer (CTO) David Conrad wurde die seit Oktober 2000 erhältliche Version 9.x erst 30.000- bis 40.000-mal heruntergeladen, was einer geschätzten Zahl von fünf Prozent aller Internet-Domain-Server entspricht. Da es sich bei dem Dienst um das Rückgrat des Internet handelt, muss hier von einer latenten Gefahr für große Teile des E-Business ausgegangen werden. Auch die vielfach schlechte Konfiguration des Dienstes kommt laut Conrad als zusätzliche Fehlerquelle in Frage.
