Software::Distributionen::BSD::OpenBSD
OpenBSD von BIND-Problem nicht betroffen
Das OpenBSD-Projekt rühmt sich, durch ein Review des Nameservers BIND das kürzlich publizierte Problem bereits im Vorfeld ausgeschaltet zu haben.
Vor wenigen Tagen wurde eine Schwachstelle im weit verbreiteten Nameserver BIND aufgedeckt, die es Angreifern recht einfach macht, gefälschte DNS-Einträge in den Cache eines Nameservers zu injizieren. Dies öffnet die Tür, arglose Benutzer auf gefälschte Webseiten umzuleiten, auf denen sie ihre Account- oder andere vertrauliche Daten eingeben, die somit Betrügern in die Hände fallen. Die Sicherheitsupdates der Linux-Distributionen begannen zugleich mit der Veröffentlichung des Problems einzulaufen, bislang sind auf Pro-Linux Updates von Mandriva, Debian, Ubuntu und Red Hat verzeichnet.
Eine genaue Beschreibung des Problems findet man in diesem Artikel. Es beruht darauf, dass BIND in Version 9.x einen Zufallsgenerator verwendet, der nach nur wenigen Paketen das Erraten der 16-Bit-Transaktionsnummer eines DNS-Paketes ermöglicht. Hat der Angreifer die richtige Transaktionsnummer, kann er Daten an den DNS-Server senden, die dieser speichert und an die Clients ausliefert. Das tiefer liegende Problem dürfte allerdings sein, dass die Transaktionsnummer die einzige Möglichkeit des BIND-Servers ist, die Vertrauenswürdigkeit der Daten sicherzustellen.
Das OpenBSD-Projekt hat nun bekanntgegeben, dass bereits bei der ersten Integration von BIND 9 in OpenBSD eine Sicherheitsanalyse durchgeführt wurde, in der die Schwäche des Zufallsgenerators erkannt wurde. Prompt ersetzte das Projekt den Zufallsgenerator durch einen besseren ohne bekannte Schwächen. Während diese Maßnahme einen großen Erfolg für die Sicherheitsbemühungen von OpenBSD darstellt, stellt sich die Frage, ob die Änderung absichtlich nicht publiziert oder von anderen Distributionen ignoriert wurde.
