Debians sikkerhedsbulletin

DSA-196-1 bind -- flere sårbarheder

Rapporteret den:
14. nov 2002
Berørte pakker:
bind
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6159, BugTraq-id 6160, BugTraq-id 6161.
I Mitres CVE-ordbog: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Yderligere oplysninger:

[Bind version 9, bind9-pakken, er ikke påvirket af disse problemer.]

ISS X-Force har opdaget flere alvorlige sårbarheder i Berkeley Internet Name Domain Server (BIND). BIND er den mest udbredte implementering af DNS-protokollen (Domain Name Service) og anvendes af de allefleste DNS-servere på Internet. DNS er en livsvigtig Internet-protokol som stiller en database over lette at huske-domænenavne (værtsnavne) til rådighed og deres tilsvarende IP-adresser.

Indicier tyder på at Internet Software Consortium (ISC), som vedligeholder BIND, blev gjort bekendt med disse problemer i midten af oktober. Distributører af Open Source-styresystemer, blandt andre Debian, blev via CERT cirka tolv timer før bulletinen blev udsendt den 12. november, underrettet om disse sårbarheder. Denne meddelelse indeholdt ingen detaljer som gjorde det muligt for os at finde frem til den sårbare kode, og dermed havde vi ikke mulighed for at forberede rettelser i tide.

Desværre udsendte ISS og ISC deres sikkerhedsbulletiner, som kun indeholdt beskrivelser af sårbarhederne, uden rettelser (patches). På trods af at der ikke var tegn på disse sårbarheder er kendt i miljøet af ondsindede mennesker og der heller ikke er nogen rapporter om aktive angreb, kunne sådanne angreb i mellemtiden være blevet sat i gang - ud at der var tilgængelige rettelser.

Vi kan kun beklage det ironisk navngivne Internet Software Consortiums manglende evne til at samarbejde med Internet-fællesskabet i håndteringen af dette problem. Forhåbentlig vil fremtidige sikkerhedsproblemer ikke blive håndteret på sammemåde.

Projektet Common Vulnerabilities and Exposures (CVE) har fundet frem til følgende sårbarheder:

  1. CAN-2002-1219: Et bufferoverløb i BIND 8 version 8.3.3 og tidligere gør det muligt for en fjernangriber at udføre vilkårlig kode via specifikke DNS-servere som svarer på SIG-ressourceposter (RR). Dette bufferoverløb kan udnyttes til at få adgang til offerets maskine med den brugerkonto som named-processen kører under, normalt root.
  2. CAN-2002-1220: BIND 8 i versionerne 8.3.x til 8.3.3 gør det muligt for en fjernangriber at forsage en overbelastningsangreb (afslutning på grund af en assertion-fejl) via en forespørgsel på et underdomæne som ikke eksisterer, med en OPT-ressourcepost med en stor UPD-nyttelast.
  3. CAN-2002-1221: BIND 8 i versionerne 8.x til 8.3.3 gør det muligt for en fjernangriber at forsage et overbelastningsangreb (crash) via SIG RR-elementer med ugyldige udløbstider, som fjernes fra den interne BIND-database og senere forsager en NULL-reference.

Disse problemer er rettet i version 8.3.3-2.0woody1 i den aktuelle stabile distribution (woody), i version 8.2.3-0.potato.3 i den gamle stabile distribution (potato) og i version 8.3.3-3 i den ustabile distribution (sid). De rettede pakker vil blive overført til arkivet i dag.

Vi anbefaler at du omgående opgraderer din bind-pakke, opgraderer til bind9, eller skifter til en anden implementering af DNS-serveren.

Rettet i:

Debian GNU/Linux 2.2 (oldstable)

Kildekode:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Kildekode:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.