Bulletin d'alerte Debian

DSA-196-1 bind -- Plusieurs failles

Date du rapport :
14 novembre 2002
Paquets concernés :
bind
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 6159, Identifiant BugTraq 6160, Identifiant BugTraq 6161.
Dans le dictionnaire CVE du Mitre : CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Plus de précisions :

[Bind version 9, le paquet bind9, n'est pas affecté par ces problèmes.]

ISS X-Force a découvert plusieurs sérieuses vulnérabilités dans le Serveur de Nom de Domaine Internet de Berkeley (BIND). BIND est l'une des implémentations les plus communes du protocole DNS (Domain Name Service), qui est utilisée par une vaste majorité des serveurs DNS d'Internet. DNS est un protocole vital d'Internet qui maintient une base de données de noms de domaines faciles à retenir (les noms des machines) et leur adresse IP numérique respective.

Une preuve indirecte suggère que Internet Software Consortium (ISC), responsables de BIND, a été prévenu de ces soucis mi-octobre. Les distributeurs de système d'exploitation Open Source, incluant Debian, ont été prévenus de ces failles par le CERT a peu près 12 heures avant la sortie publique des annonces du 12 novembre. Cette notification ne contenait aucun détail qui nous a permis d'identifier le code vulnérable et encore moins de préparer à temps un correctif.

Malheureusement, ISS et ISC ont sorti leurs annonces de sécurité avec juste une description des vulnérabilités, sans rustine. Même s'il n'en existe aucun signe d'exploitation dans la communauté des pirates ni aucun rapport indiquant une attaque active, de telles attaques auraient pu être mises en place pendant tout ce temps - alors qu'il n'y avait pas de correctifs disponibles.

Nous pouvons tous regretter l'incapacité de l'ironiquement appelé Internet Software Consortium à travailler avec la communauté Internet pour gérer ce problème. Heureusement, ceci n'est pas la future manière de traitement pour les trous de sécurité à venir.

Le projet Common Vulnerabilities and Exposures (CVE) a identifié les vulnérabilités suivantes :

  1. CAN-2002-1219 : Un dépassement de tampon dans BIND 8 versions 8.3.3 et antérieures permet à un attaquant distant d'exécuter du code arbitraire via une certaine réponse DNS du serveur contenant des enregistrements de ressources de type SIG. Ce dépassement de tampon peut être exploité pour obtenir accès à la machine visée sous l'identité faisant fonctionner BIND, généralement root ;
  2. CAN-2002-1220 : BIND 8 versions 8.3.x jusqu'à 8.3.3 permet à un attaquant distant de causer un déni de service (terminaison due à une erreur des assertions) via une requête pour un sous-domaine qui n'existe pas, avec un enregistrement de ressources de type OPT et un paquet de données UDP chargé ;
  3. CAN-2002-1221 : BIND 8 versions 8.x jusqu'à 8.3.3 permet à un attaquant distant de causer un déni de service (plantage) via des enregistrements de ressources de type SIG avec un délai avant expiration invalide, qui sont enlevés de la base de données interne de BIND et ensuite cause une déréférence vers NULL.

Ces problèmes sont corrigés dans la version 8.3.3-2.0woody1 pour l'actuelle distribution stable (Woody), dans la version 8.2.3-0.potato.3 pour l'ancienne distribution stable (Potato) et dans la version 8.3.3-3 pour la distribution instable (Sid). Les paquets corrigés pour Sid vont entrer l'archive aujourd'hui.

Nous recommandons de mettre à jour votre paquet bind immédiatement, de passer à bind9 ou enfin de passer à une autre implémentation de serveur DNS.

Corrigé dans :

Debian GNU/Linux 2.2 (oldstable)

Source :
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Source :
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.