Sprawa jest o tyle poważna, że błąd w serwerze DNS to typowa luka zero-day - autorzy BIND dowiedzieli się o niej dopiero, gdy wykryto pierwsze ataki wykorzystujące ów błąd. Analizy problemu rozpoczęto w środę, gdy użytkownicy serwera z całego świata zaczęli zgłaszać tajemnicze awarie BIND. Problemy zgłosiło m.in. kilkanaście uniwersytetów z USA

Serwery DNS (Domain Name System) tłumaczą nazwy domenowe na adresy IP. Resolver DNS odpytuje inne serwery w łańcuchu. Aby przyspieszyć ten proces dla następnych zapytań, odpowiedzi są umieszczane lokalnie pamięci cache na pewien (określony we właściwościach rekordu) okres czasu.

Z pierwszych ustaleń specjalistów z ISC wynika, że bezpośrednim powodem zawieszania się serwerów jest pewien niespójny rekord, który jest umieszczany w cache, a następnie serwowany klientom. Na razie nie wiadomo, jaka aktywność sieciowa sprawia, że resolvery cache'ują wadliwe dane.

Przyczyną może być zarówno skomplikowany atak sieciowy, jak i jakaś "zwykła" anomalia - aczkolwiek Carsten Eiram, szef działu bezpieczeństwa firmy Secunia, twierdzi, że pierwszy scenariusz jest bardziej prawdopodobny. "W oparciu o dostępne w tej chwili informacje, mogę stwierdzić, że wygląda to na jakąś złośliwą aktywność" - tłumaczy Eiram.

Organizacja ISC udostępniła już poprawkę, po zainstalowaniu której serwer przestaje się być podatny na zawieszenie (składa się ona z dwóch komponentów - pierwszy blokuje restarty, drugi - próby odebrania uszkodzonych danych). Co ważne, jest ona tylko tymczasowym zabezpieczeniem, bowiem nie usuwa błędu znalezionego w BIND. Aktualizacja ostatecznie rozwiązująca problem ma zostać udostępniona w późniejszym terminie.

Warto dodać, że wszystkie dotychczasowe analizy wyraźnie wykazały, że ów błąd nie może zostać wykorzystany do uruchomienia na serwerze złośliwego kodu - zawieszenie BIND jest jedynym efektem ataku.

ISC zaleca wszystkim użytkownikom BIND zaktualizowanie oprogramowania - do wersji 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1 lub 9.4-ESV-R5-P1. Więcej informacji na stronie ISC.