November 2009 Archives
2009-11-25 17:10:16
BIND-Lücke des Tages 2009-11-23
A nameserver with DNSSEC validation enabled may incorrectly add records to its cache from the additional section of responses received during resolution of a recursive client query. This behavior only occurs when processing client queries with checking disabled (CD) at the same time as requesting DNSSEC records (DO).
Erneut ist ein Fehler in BIND aufgetreten, bei dem unzulässigerweise Daten aus der additional section verwendet werden. Quasi als Entschuldigung wird noch gesagt, dass das nur auftritt, wenn "CD" und "DO" gleichzeitig gesetzt sind, was bei "normalen" Abfragen nicht der Fall ist. Willkommen im Internet, Herr Vixie. Hier gibt es böse Buben, gemeinhin "Hacker" genannt, die sich nicht an die Normalität für DNS-Abfragen halten.
Wenn es keinen Zustand (Annahme einer FSM) gibt, bei dem "CD" und "DO" gleichzeitig zulässig sind, so sollte man solche Abfragen vielleicht einfach ignorieren. Wenn es den Zustand gibt, dann ist er wohl nicht vollständig implementiert worden. Es wäre sehr geschmeichelt, hierbei von "unsauberer" Programmierung zu sprechen. Und eine unzulässige Auswertung der additional section ist IMHO auch schon öfter bei BIND aufgetreten. Herr Vixie und Co scheinen lernresistent zu sein. Finger weg von BIND. Das ist die einzige sinnvolle Konsequenz.