Hallo,
ich habe eine Frage zum BIND Bug, hier beschrieben:
https://kb.isc.org/docs/cve-2022-1183
Bei mir läuft Debian 11.3 mit Keyhelp 22 und allen aktuellen Update.
named -v zeigt mir allerdings:
BIND 9.16.27-Debian (Extended Support Version)
Der o.g. Bug soll aber erst mit Version 9.18.3 bereinigt worden sein.
Keyhelp nutzt BIND listen-on:
listen-on-v6 { any; }; (/etc/bind/named.conf.options)
Muss ich mir da jetzt Sorgen machen? Einen deutschen Artikel zum Problem gibt es auch hier:
https://www.heise.de/news/Angreifer-koe ... 01032.html
LG
Andi
BIND Bug
Re: BIND Bug
Also so wie ich das hier auf der BIND 9 Seite verstehe, erhält BIND 9.16 (Extended Support Version) noch das ganze Jahr Bugfixes und danach bis zum EOL 2024 noch security fixes. Das heißt für mich, dass alle sicherheitskritischen Bugs in 9.16 momentan noch ebenso gefixed werden wie in der 9.18.
Insofern mache ich mir da eigentlich keine Sorgen.
Insofern mache ich mir da eigentlich keine Sorgen.
Re: BIND Bug
Vergiss heise in der Beziehung, die leben nur noch von Clickbaits.
Und Bugs und Distributionen konnten sie noch nie zuordnen.
https://security-tracker.debian.org/tra ... -2022-1183
Die Versionsnummer sind völlig unerheblich. Das wird (wurde) downstream gefixed und fertig.
Ausserdem: [bullseye] - bind9 <not-affected> (Vulnerable code not present)
Nur bookworm ist war betroffen.
Und Bugs und Distributionen konnten sie noch nie zuordnen.
https://security-tracker.debian.org/tra ... -2022-1183
Die Versionsnummer sind völlig unerheblich. Das wird (wurde) downstream gefixed und fertig.
Ausserdem: [bullseye] - bind9 <not-affected> (Vulnerable code not present)
Nur bookworm ist war betroffen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Re: BIND Bug
Ja, ich glaube die hier betroffene Variante DNS over HTTPS (DoH) wurde überhaupt erst in 9.17 eingeführt, dann wäre 9.16 sowieso außen vor. Deswegen wurde bei 9.16 auch nichts gefixed. Ich kann mir auch nicht vorstellen, dass man sonst den CVE bereits veröffentlicht hätte, bevor die 9.16 ESV den Fix erhalten hätte. So eine Handlungsweise wäre ja nicht mehr grob fahrlässig, sondern eher schon vorsätzlich.
Re: BIND Bug
Die Patches werden immer zeitnah eingepflegt.tab-kh wrote: ↑Sat 21. May 2022, 00:49 Ja, ich glaube die hier betroffene Variante DNS over HTTPS (DoH) wurde überhaupt erst in 9.17 eingeführt, dann wäre 9.16 sowieso außen vor. Deswegen wurde bei 9.16 auch nichts gefixed. Ich kann mir auch nicht vorstellen, dass man sonst den CVE bereits veröffentlicht hätte, bevor die 9.16 ESV den Fix erhalten hätte. So eine Handlungsweise wäre ja nicht mehr grob fahrlässig, sondern eher schon vorsätzlich.
Nur heise bekommt es nicht auf die reihe das zu transportieren.
Dann lesen die Admin-Novizen, dass Bind vor Version x.y einen Fehler hat. Und versuchen das dann krampfhaft zu installieren, obwohl das passende Paket schon lange gefixt ist.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.