BIND Bug

Allgemeine Diskussionen rund um KeyHelp.
Post Reply
Andi
Posts: 27
Joined: Mon 18. Nov 2019, 21:34

BIND Bug

Post by Andi »

Hallo,

ich habe eine Frage zum BIND Bug, hier beschrieben:

https://kb.isc.org/docs/cve-2022-1183

Bei mir läuft Debian 11.3 mit Keyhelp 22 und allen aktuellen Update.

named -v zeigt mir allerdings:

BIND 9.16.27-Debian (Extended Support Version)

Der o.g. Bug soll aber erst mit Version 9.18.3 bereinigt worden sein.

Keyhelp nutzt BIND listen-on:

listen-on-v6 { any; }; (/etc/bind/named.conf.options)

Muss ich mir da jetzt Sorgen machen? Einen deutschen Artikel zum Problem gibt es auch hier:

https://www.heise.de/news/Angreifer-koe ... 01032.html

LG

Andi
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: BIND Bug

Post by tab-kh »

Also so wie ich das hier auf der BIND 9 Seite verstehe, erhält BIND 9.16 (Extended Support Version) noch das ganze Jahr Bugfixes und danach bis zum EOL 2024 noch security fixes. Das heißt für mich, dass alle sicherheitskritischen Bugs in 9.16 momentan noch ebenso gefixed werden wie in der 9.18.
Insofern mache ich mir da eigentlich keine Sorgen.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: BIND Bug

Post by 24unix »

Vergiss heise in der Beziehung, die leben nur noch von Clickbaits.
Und Bugs und Distributionen konnten sie noch nie zuordnen.

https://security-tracker.debian.org/tra ... -2022-1183

Die Versionsnummer sind völlig unerheblich. Das wird (wurde) downstream gefixed und fertig.

Ausserdem: [bullseye] - bind9 <not-affected> (Vulnerable code not present)

Nur bookworm ist war betroffen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: BIND Bug

Post by tab-kh »

Ja, ich glaube die hier betroffene Variante DNS over HTTPS (DoH) wurde überhaupt erst in 9.17 eingeführt, dann wäre 9.16 sowieso außen vor. Deswegen wurde bei 9.16 auch nichts gefixed. Ich kann mir auch nicht vorstellen, dass man sonst den CVE bereits veröffentlicht hätte, bevor die 9.16 ESV den Fix erhalten hätte. So eine Handlungsweise wäre ja nicht mehr grob fahrlässig, sondern eher schon vorsätzlich.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: BIND Bug

Post by 24unix »

tab-kh wrote: Sat 21. May 2022, 00:49 Ja, ich glaube die hier betroffene Variante DNS over HTTPS (DoH) wurde überhaupt erst in 9.17 eingeführt, dann wäre 9.16 sowieso außen vor. Deswegen wurde bei 9.16 auch nichts gefixed. Ich kann mir auch nicht vorstellen, dass man sonst den CVE bereits veröffentlicht hätte, bevor die 9.16 ESV den Fix erhalten hätte. So eine Handlungsweise wäre ja nicht mehr grob fahrlässig, sondern eher schon vorsätzlich.
Die Patches werden immer zeitnah eingepflegt.

Nur heise bekommt es nicht auf die reihe das zu transportieren.

Dann lesen die Admin-Novizen, dass Bind vor Version x.y einen Fehler hat. Und versuchen das dann krampfhaft zu installieren, obwohl das passende Paket schon lange gefixt ist.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Post Reply