Zugegeben, ich musste schon kurz schlucken, als ich in der einschlägigen Online-Tickerei las, dass angeblich der Support von BIND eingestellt werden solle. Ein zweites Lesen ergab dann, dass lediglich BIND in der Version 8 kurzerhand am Ende des Supports angelangen soll. Was aber ist eigentlich BIND und warum soll uns das interessieren?
Nun, BIND steht für Berkeley Internet Name Daemon und ist eine DNS-Nameserver-Software. Eigentlich müsste man sagen: Die DNS-Nameserver-Software, denn sie gilt als Referenzimplementierung für Nameserver, deren Wurzeln tatsächlich aus der frühesten DNS-Geschichte ab 1983 kommen. BIND ist zwar nicht die erste DNS-Nameserver-Software (das war eine Software namens JEEVES), dafür aber eine Weiterentwicklung, die ursprünglich an der University Berkeley in Kalifornien (daher das “B” im Namen) begonnen wurde. Danach landete die offizielle BIND-Entwicklung kurzfristig bei der Digital Equipment Corporation und dann bei Paul Vixie im Unternehmen Vixie Enterprises – kein wirklich Unbekannter, denn Vixie war schon zu diesem Zeitpunkt einer der Hauptakteure in der BIND-Entwicklung und gehörte Anfang der 1980er Jahre zu den Koryphäen der Internet-Bewegung. Seit 1997 ist die BIND-Entwicklung nun bei einer non-kommerziellen Unternehmung namens Internet Software Consortium (ISC), an der auch Vixie beteiligt ist.
Der Ruf von BIND ist legendär und es ist keinesfalls übertrieben, zu sagen, dass Nameserver, die mit BIND betrieben werden, buchstäblich die Grundsäulen des DNS bilden, denn genügend Root-Server und deren einzelne Instanzen laufen mit BIND-Software, aber auch genügend Nameserver-Instanzen bei Internet Service Providern und Firmen weltweit. Gerade aus diesem Grund läuft die Weiterentwicklung und Pflege von solch eminent wichtiger Software eher behutsam bis konservativ. Die Support-Zyklen für Hauptversionen sind relativ lang, dementsprechend wurde die Hauptversion 8 bis vor kurzem trotzdem noch offiziell gepflegt, obwohl es schon seit längerem die Hauptversion 9 gab.
Richtiggehend geknallt hat es in der BIND-Community im Juli, als in BIND 8 ein schwerer Fehler gefunden wurde, er es ermöglichte, den so genannten DNS-Cache zu manipulieren. Dieser DNS-Cache enthält in einem Nameserver die bereits aufgelösten DNS-Namen und IP-Adressen für einen bestimmten Zeitraum, um bei gleichen Anfragen diese aus dem DNS-Cache bedienen zu können. Essentiell ist es deshalb, dass dieser DNS-Cache fälschungssicher sein muss und nur vom DNS-Server selbst gefüllt werden darf. Genau hier gab es in BIND 8 eine derart schwere Sicherheitslücke, die es mit relativ geringem Aufwand ermöglichen konnte, Einträge im DNS-Cache beliebig zu manipulieren. Nameserver-Administratoren, die BIND einsetzen, waren deshalb in selten so dringendem Maße aufgefordert, ihre BIND-Installationen zu patchen, allen voran die Administratoren der Root-Server, um die Integrität des gesamten Domain Name Systems nicht vorübergehend massiv beeinträchtigen zu lassen. Interessanterweise tauchte dieses Sicherheitsproblem auch bei BIND 9 auf, dort allerdings in einem erheblich kleinerem Umfang.
Die jetzige Ankündigung, den Support für BIND 8 praktisch sofort einzustellen, wird deshalb mit “grundlegenden architekturellen Problemen” begründet und mit einer dringenden Empfehlung versehen, umgehend auf BIND 9 zu wechseln. Das hört sich sehr danach an, als ob gewissen Leuten die Situation ziemlich peinlich ist.
Schreibe einen Kommentar