A legutóbb a Spamhaus elleni kibertámadás során merültek fel komolyabb nehézségek a DNS szervereknél (Domain Name Server). Ezek a problémák azért is váltanak ki nagy visszhangot, mert a DNS-kiszolgálók kritikus fontosságú rendszerek, amelyek a névfordításért felelősek. A BIND, amely az egyik legelterjedtebb, nyílt forráskódú DNS szerver, a múlt jelentett be egy olyan biztonsági rést, ami komoly veszélyeket rejt – ráadásul épp az olyan szolgáltatásmegtagadási támadások esetében, mint ami a Spamhaust is érte.

Nem csak BIND van veszélyben

Bár a biztonsági rést a BIND-ben fedezték fel, az közel sem csak ezt a szervert érintheti. Minden olyan szolgáltatásra, alkalmazásra veszélyes, amelyek az érintett rendszereken futnak. A sebezhetőség lányege ugyanis az, hogy a támadással megcélzott szoftver a speciálisan összeállított hálózati kérések feldolgozásakor képes felemészteni az összes rendelkezésre álló szabad memóriát, ami végső soron a kiszolgálók összeomlását vagy megbénulását eredményezi.

"E körülmények szándékos kihasználása szolgáltatásmegtagadáshoz vezethet minden olyan autoritatív és rekurzív névkiszolgálón, amelyek az érintett BIND-verziók valamelyikét futtatják" - nyilatkozta az Internet Systems Consortium (ISC) – a szervezet a sérülékenységet éppen ezért minősítette kritikus veszélyességűnek.

Kockázatcsökkentés

Már egy sor olyan exploit készült, amely kifejezetten a most nyilvánosságra hozott sérülékenység kihasználására alkalmas. Szerencsére egyelőre csak a biztonsági kutatók készítettek ilyeneket, feltérképezendő a biztonsági rés okozta lehetséges problémákat. Az exploitok készítése során derül fény arra is, hogy a nyilvánosságra került adatok alapján könnyen és gyorsan készíthetők a DNS szerverekre veszélyes kódok.

A BIND fejlesztői kidolgoztak egy olyan technikát, amivel csökkenthetők, illetve kiiktathatók a biztonsági hibából eredő kockázatok. Ehhez azonban ki kell kapcsolni a BIND-ban a reguláris kifejezések támogatását, amit a config.h állomány manuális módosításával, majd egy újrafordítással lehet megtenni. Ugyanakkor a fejlesztők kiadták a BIND 9.8.4-P2 és 9.9.2-P2 verzióit, amikben alapértelmezetten kikapcsolt a reguláris kifejezések támogatása. Majd hangsúlyozták, hogy a BIND 10-ben a sérülékenység nem található meg, de azt is jelezték, hogy a BIND 10-re való átállás nem minden esetben a legjobb megoldás. Emellett közölték, hogy a BIND Windows-kompatibilis kiadását sem sújtja a fenti rendellenesség.

(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)