Debian-Sicherheitsankündigung

DSA-196-1 bind -- Mehrere Verwundbarkeiten

Datum des Berichts:
14. Nov 2002
Betroffene Pakete:
bind
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 6159, BugTraq ID 6160, BugTraq ID 6161.
In Mitres CVE-Verzeichnis: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Weitere Informationen:

[Bind Version 9, das bind9-Paket, ist nicht von diesen Problemen betroffen.]

ISS X-Force hat mehrere Verwundbarkeiten im Berkeley Internet Name Domain Server (BIND) gefunden. BIND ist die weit verbreitetste Implementierung des DNS (Domain Name Service) Protokolls, die auf der überwiegenden Mehrheit der DNS-Server im Internet verwendet wird. DNS ist ein wesentliches Internet-Protokoll, das eine Datenbank von leicht zu merkenden Domain-Namen (Rechnernamen) und deren entsprechenden numerischen IP-Adressen verwaltet.

Begleitende Hinweise legen nahe, dass das Internet Software Consortium (ISC), Betreuer von BIND, von diesen Problemen Mitte Oktober erfahren hat. Distributoren von Open Source Betriebssystemen, inklusive Debian, wurden von diesen Verwundbarkeiten über CERT ungefähr 12 Stunden vor der Veröffentlichung des Gutachtens am 12. November unterrichtet. Diese Benachrichtigung beinhaltete keinerlei Details, die es uns erlaubt hätten, den verwundbaren Quellcode zu entdecken, und noch weniger, um zeitgerechte Reparaturen vorzubereiten.

Unglücklicherweise haben ISS und das ISC ihre Sicherheitsgutachten mit lediglich der Beschreibung der Verwundbarkeiten veröffentlicht, aber ohne Patches. Obwohl es keine Anzeichen gab, dass diese Ausnutzbarkeiten der böswilligen Gemeinschaft bekannt sind und es keine Berichte von aktiven Angriffen gab, konnten solche Angriffe in der Zwischenzeit entwickelt werden – ohne dass Reparaturmöglichkeiten verfügbar sind.

Wir alle können nur unser Bedauern über die Unfähigkeit des ironischerweise so genannten Internet Software Consortiums ausdrücken, mit der Internet-Gemeinschaft bei der Behandlung dieses Problem umzugehen. Hoffentlich wird dies in Zukunft nicht ein Modell für den Umgang mit Sicherheits-Problemen.

Das Common Vulnerabilities and Exposures (CVE) Projekt identifiziert die folgenden Verwundbarkeiten:

  1. CAN-2002-1219: Ein Pufferüberlauf in BIND 8 Versionen 8.3.3 und früher erlaubt es einem entfernten Angreifer, beliebigen Code über eine bestimmte DNS-Server-Antwort auszuführen, die einen SIG-Ressource-Eintrag (RR) enthält. Dieser Pufferüberlauf kann ausgebeutet werden, um Zugriff auf den Opfer-Rechner mit dem Konto zu erlangen, unter dem der named-Prozess läuft, üblicherweise root.
  2. CAN-2002-1220: BIND 8 Versionen 8.3.x bis 8.3.3 erlauben einem entfernten Angreifer eine Diensteverweigerung (Denial of Service) (Terminierung wegen eines Assertion-Fehlers) durch einer Anfrage nach einer Subdomain, die nicht existiert, mit einem OPT-Ressource-Eintrag mit einer großen UDP-Payload-Größe.
  3. CAN-2002-1221: BIND 8 Versionen 8.x bis 8.3.3 erlauben einem entfernten Angreifer eine Diensteverweigerung (Denial of Service) (Absturz) durch SIG-RR Elemente mit ungültigen Ablauf-Zeiten, die von der internen BIND-Datenbank gelöscht werden und später eine NULL-Dereferenz verursachen.

Diese Probleme wurden in Version 8.3.3-2.0woody1 für die aktuelle stable Distribution (Woody), in Version 8.2.3-0.potato.3 für die alte stable Distribution (Potato) und in Version 8.3.3-3 für die unstable Distribution (Sid) behoben. Die reparierten Pakete für unstable werden heute ins Archiv einfließen.

Wir empfehlen Ihnen, Ihr bind-Paket unverzüglich zu aktualisieren, auf bind9 zu erneuern oder auf eine andere DNS-Server Implementierung umzustellen.

Behoben in:

Debian GNU/Linux 2.2 (oldstable)

Quellcode:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Quellcode:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.