BIND 9 ist eine Implementierung der DNS-Protokolle (Domain Name System). Der named(8)-Daemon ist ein Internet-Domain-Name-Server.
DNS Security Extensions (DNSSEC) bieten Resolvern Datenintegrität, Herkunftsauthentifizierung und authentifizierte Nicht-Existenz-Bestätigung.
Problembeschreibung
Wenn ein Client DNSSEC-Einträge anfordert, bei denen das „Checking Disabled“ (CD)-Flag gesetzt ist, speichert BIND die nicht validierten Antworten möglicherweise im Cache. Diese Antworten können später an einen anderen Client zurückgegeben werden, der das CD-Flag nicht gesetzt hat.
Auswirkungen
Wenn ein Client solche Abfragen an einen Server senden kann, kann er dieses Problem ausnutzen, um einen Cache-Poisoning-Angriff durchzuführen, bei dem der Cache mit nicht validierten Informationen gefüllt wird.
Sicherheitshinweis
Ursprünglicher Sicherheitshinweis und Lösung: FreeBSD-SA-10:01.bind