Laut einem Bericht von Secunia tritt die Sicherheitslücke in folgenden Versionen von Bind auf:
-
BIND 9.0 (alle Versionen)
-
BIND 9.1 (alle Versionen)
-
BIND 9.2 (alle Versionen)
-
BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4, 9.3.5, 9.3.6
-
BIND 9.4.0, 9.4.1, 9.4.2, 9.4.3
-
BIND 9.5.0, 9.5.1
-
BIND 9.6.0
Die Schwachstelle entsteht durch die fehlerhafte Überprüfung des Rückgabewertes der OpenSSL-Funktion „EVP_VerifyFinal()“ und „DSA_do_verify“. Die Lücke entsteht bei der Überprüfung der Signaturen von DSA- und NSEC3DSA-Schlüsseln. Durch gezielte Manipulation können Angreifer unter Umständen Zoneninformationen verfälschen. Es wird empfohlen, sofort auf die neuesten Versionen von Bind umzusteigen; diese stehen ab sofort zum Download zur Verfügung. (twi)