Debianin tietoturvatiedote

DSA-196-1 bind -- useita haavoittuvuuksia

Ilmoitettu:
14.11.2002
Vaikutuksen alaiset paketit:
bind
Altis:
Kyllä
Viittaukset tietoturvatietokantoihin:
Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6159, BugTraq-tunniste 6160, BugTraq-tunniste 6161.
Mitren CVE-sanakirjassa: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
CERT:n alttiudet, tiedotteet ja ongelmahuomiot: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Lisätietoa:

[Bind versio 9, bind9-paketti, ei ole altis näille ongelmille.]

ISS X-Force on löytänyt useita vakavia haavoittuvuuksia BIND:ista (Berkeley Internet Name Domain Server). BIND on yleisin toteutus DNS (Domain Name Service)-protokollasta, jota käytetään valtaosassa Internetin DNS-palvelimia. DNS on elintärkeä Internet-protokolla joka ylläpitää tietokantaa helposti muistettavista domain-nimistä (host names) ja niitä vastaavista numeerisista IP-osoitteista.

Aihetodistukset esittävät että Internet Software Consortium (ISC), BIND:in ylläpitäjä, oli tietoinen näistä seikoista lokakuun puolenvälin tienoilla. Open Source-käyttöjärjestelmien jakelijoille, mukaan lukien Debian, ilmoitettiin näistä haavoittuvuuksista CERT:in kautta noin 12 tuntia ennen marraskuun 12:nnen ilmoitusta. Tämä ilmoitus ei sisältänyt ainoatakaan yksityiskohtaista tietoa jotta olisimme voineet paikallistaa haavoittuvan kohdan koodista, puhumattakaan korjauksien valmistelusta ajallaan.

Valitettavasti ISS ja ISC julkaisivat tietoturvatiedotteissaan vain kuvaukset haavoittuvuuksista, ilman korjauksia. Vaikkakaan ei ollut merkkejä siitä että nämä aukot olisivat kräkkeriyhteisön tiedossa, ja että aktiivisista hyökkäyksistä ei ollut ilmoituksia, tällaisia hyökkäyksiä olisi voitu kehitellä tuona aikana - eikä korjauksia olisi ollut saatavilla.

Voimme kaikki ilmaista paheksuntamme ironisesti nimetyn Internet Software Consortiumin kyvyttömyydestä työskennellä Internet-yhteisön kanssa tämän ongelman käsittelyssä. Toivottavasti tästä ei tule tulevaisuuden mallia tietoturvaongelmien käsittelyyn.

The Common Vulnerabilities and Exposures (CVE)-projekti tunnisti seuraavat haavoittuvuudet:

  1. CAN-2002-1219: Puskurin ylivuoto BIND 8:n versioissa 8.3.3, ja aiemmat, antaa etähyökkääjälle mahdollisuuden ajaa mielivaltaista koodia tietyn DNS-palvelimen SIG resource records (RR)-elementin sisältävän vastauksen kautta. Tätä puskurin ylivuotoa hyödyntämällä on mahdollista päästä hyökkäyksen kohteena olevalle palvelimelle named-prosessin käyttäjäoikeuksilla, tavallisesti root-oikeuksilla.
  2. CAN-2002-1220: BIND 8:n versiot 8.3.x - 8.3.3 mahdollistavat etähyökkääjän aiheuttaa palveluneston (termination due to assertion failure) lähettämällä pyynnön olemattomasta alidomainista OPT resource record-elementillä, jonka UDP-hyötykuorman koko on suuri.
  3. CAN-2002-1221: BIND 8:n versiot 8.x - 8.3.3 mahdollistavat etähyökkääjän aiheuttaa palveluneston (palvelimen kaatuminen) virheellisillä voimassaoloajoilla varustetuilla SIG RR-elementeillä. Virheelliset elementit poistetaan sisäisestä BIND-tietokannasta, joka myöhemmin johtaa tyhjään viittaukseen.

Nämä ongelmat on korjattu nykyisen vakaan jakelun (woody) versiossa 8.3.3-2.0woody1, aiemman vakaan jakelun (potato) versiossa 8.2.3-0.potato.3 ja epävakaan jakelun (sid) versiossa 8.3.3-3. Epävakaan jakelun korjatut paketit tulevat arkistoon tänään.

Suosittelemme päivittämään bind-paketin välittömästi, päivitä bind9:ään, tai vaihda johonkin muuhun DNS-palvelintoteutukseen.

Korjattu:

Debian GNU/Linux 2.2 (oldstable)

Lähde:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Lähde:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.