Dynamisches DNS mit Bind funktioniert nicht mehr

Im Jahr 2021 hatte ich ein dynamisches DNS-Service mit dem ISC Bind DNS-Server aufgesetzt und das Setup in einem Blog Artikel gepostet [1].

Vor kurzem (in der zweiten Hälfte von 2024) haben die DNS Updates plötzlich nicht mehr funktioniert. In der Konfiguration hatte ich das Public Key Verfahren namens SIG(0) verwendet. Dieses wird schon lange in Bind unterstützt und es ist auch dokumentiert dass es funktioniert – in der letzten Version.

Plötzlich wurden alles DNS Update Anfragen mit einem REFUSED Status zurückgewiesen. Selbst mit aufgedrehtem Debugging mit -d 15 bekam ich keine weiteren Informationen, auch nicht wenn alle Logs auf Standard Error umgeleitet wurden mit der Option -g.

Es stellte sich heraus dass das Public Key Verfahren SIG(0) wegen eines "Denial of Service" Angriffsvektors, der in CVE-2024-1975 dokumentiert ist, entfernt worden war. DNS updates mit TSIG keys funktionieren noch. Leider sah es so aus als ob das nicht dokumentiert ist und es kamen auch keine sinnvollen Logmeldungen, daher habe ich einen Bug report gemacht.

Wie sich dann herausstellte hätte ich in die Dokumentation von 9.18 – die Version die von Debian bookworm paketiert ist – schauen müssen. Diese dokumentiert dass SIG(0) entfernt wurde wegen CVE-2024-1975.

Es sieht so aus dass spätere Versionen von Bind (z.B. 9.20.6 und höher) wieder SIG(0) unterstützen, mit einem Quota-Mechanismus der einen Denial of Service verhindert. Aber für frühere Versionen besteht der "Fix" darin, SIG(0) komplett zu deaktivieren.