Aviso de seguridad de Debian

DSA-196-1 bind -- varias vulnerabilidades

Fecha del informe:
14 de nov de 2002
Paquetes afectados:
bind
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 6159, Id. en BugTraq 6160, Id. en BugTraq 6161.
En el diccionario CVE de Mitre: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Información adicional:

[Bind versión 9, el paquete de bind9, no se ve afectado por estos problemas.]

ISS X-Force ha descubierto varias vulnerabilidades serias en el Servidor de nombres de dominio de internet de Berkeley (BIND). BIND es la implementación más frecuente del protocolo DNS (Domain Name Service - Servicio de Nombres de Dominio), que se usa en la gran mayoría de servidores de DNS en Internet. DNS es un protocolo vital de Internet que mantiene una base de datos de nombres de dominio fáciles de recordar (nombres de máquinas) y sus correspondientes direcciones IP numéricas.

Circumstancial evidence suggests that the Internet Software Consortium (ISC), maintainers of BIND, was made aware of these issues in mid-October. Distributors of Open Source operating systems, including Debian, were notified of these vulnerabilities via CERT about 12 hours before the release of the advisories on November 12th. This notification did not include any details that allowed us to identify the vulnerable code, much less prepare timely fixes.

Desafortunadamente, ISS y el ISC lanzaron sus avisos de seguridad con sólo descripciones de las vulnerabilidades, pero sin parches. Aun cuando no hay evidencias de que haya explotaciones conocidas para la comunidad del sombrero negro, y no ha habido ningún informe sobre ataques activos, tales ataques se pueden desarrollar en el futuro - sin reparación posible.

Debemos expresar nuestra tristeza por la incapacidad del irónicamente llamado Internet Software Consortium (Consorcio de software de internet) a la hora de hacer frente a este problema. Con suerte, esto no llegará a ser un modelo para tratar futuras cuestiones de seguridad.

El proyecto Common Vulnerabilities and Exposures (CVE - Exposiciones y vulnerabilidades comunes) identificó las siguientes vulnerabilidades:

  1. CAN-2002-1219: Un desbordamiento de búfer en las versiones de BIND 8 8.3.3 y anteriores permitía a un atacante remoto ejecutar código arbitrario vía una cierta respuesta del servidor DNS que contenía registros de recurso SIG (RR). Este desbordamiento de búfer se podía explotar para ganar acceso a la máquina de la víctima bajo la cuenta del proceso named, normalmente root.
  2. CAN-2002-1220: Las versiones de BIND 8 de la 8.3.x hasta la 8.3.3 permite a un atacante remoto causar una denegación de servicio (terminación debida a un fallo en la aserción) vía una petición para un subdominio que no existe, con un registro de recurso OPT con un tamaño de carga UDP grande.
  3. CAN-2002-1221: Las versiones de BIND 8 de la 8.x hasta la 8.3.3 permiten a un atacante remoto que cause una denegación de servicio (caída) vía elementos SIG RR con tiempos de expiración no válidos, que se borran de la base de datos de BIND interna y luego causan una desreferencia nula.

Estos problemas se han corregido en la versión 8.3.3-2.0woody1 para la distribución estable actual (woody), en la versión 8.2.3-0.potato.3 para la distribución estable anterior (potato) y en la versión 8.3.3-3 para la distribución inestable (sid). Los paquetes corregidos para inestable entrarán en el archivo hoy.

Le recomendamos que actualice el paquete bind inmediatamente, que se actualice a bind9 o pase a otra implementación de servidor DNS.

Arreglado en:

Debian GNU/Linux 2.2 (oldstable)

Fuentes:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Fuentes:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.