Bacheca Debian sulla sicurezza
DSA-196-1 bind -- varie vulnerabilità
- Data della segnalazione:
- 14 nov 2002
- Pacchetti coinvolti:
- bind
- Vulnerabile:
- Sì
- Referenze all'interno del database della sicurezza:
- Nel database Bugtraq (presso SecurityFocus): Numero del bug 6159, Numero del bug 6160, Numero del bug 6161.
Nel dizionario CVE di Mitre: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
Annunci di vulnerabilità e note d'incidenti del CERT: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31. - Maggiori informazioni:
-
[Bind versione 9, il pacchetto bind9, non è affetto da questi problemi.]
ISS X-Force ha scoperto alcune vulnerabilità serie nel Berkeley Internet Name Domain Server (BIND). BIND è l'implementazione più diffusa del protocollo DNS (Domain Name Service), che è utilizzato dalla maggior parte dei server DNS di Internet. DNS è un protocollo vitale per Internet che mantiene una base dati dei nomi di dominio facili da ricordare (host name) e i loro corrispettivi indirizzi IP.
Prove circostanziali fanno capire che il Internet Software Consortium (ISC), manutentore di BIND, è stato reso a conoscenza di questi problemi a metà ottobre. I distributori di sistemi operativi Open Source, incluso Debian, ne hanno ricevuto notifica via CERT circa 12 ore prima dell'annuncio ufficiale del 12 novembre. Questa notifica non includeva alcun dettaglio che ci permettesse di identificare il codice vulnerabile, figuriamoci l'avere il tempo per risolvere il problema.
Sfortunatamente ISS e ISC hanno rilasciato i loro annunci con la sola descrizione della vulnerabilità, senza alcuna patch. Anche se non c'erano segnali che questi problemi fossero conosciuti alla comunità 'black-hat' e anche se non c'erano report di attacchi attivi, questi attacchi avrebbero potuto essere sviluppati nel frattempo - senza alcuna soluzione disponibile.
Esprimiamo il nostro dispiacere sulla impossibilità dell'ironicamente chiamato Internet Software Consortium di lavorare con la comunità Internet nel gestire questi problemi. Speriamo che questo non diventi un modello di gestione dei problemi legati alla sicurezza in futuro.
Il progetto Common Vulnerabilities and Exposures (CVE) ha identificato le seguenti vulnerabilità:
- CAN-2002-1219: Un overflow di bufer in BIND 8 versione 8.3.3 e precedenti permette ad un attaccante remoto di eseguire del codice qualsiasi tramite una certa risposta DNS contenga un record per la risorsa SIG (RR). Questo overflow puà essere sfruttato per ottenere accesso all'host vittima con l'account utilizzato da named, normalmente root.
- CAN-2002-1220: BIND 8 dalla versione 8.3.x alla 8.3.3 permette ad un attaccante remoto di causare un 'denial of service' (terminazione dovuta al fallimento di una assert()) tramite una richiesta per un sotto dominio inesistente con un record per la risorsa OPT con una grande 'payload' UDP.
- CAN-2002-1221: BIND 8 dalla versione 8.x alla 8.3.3 permette ad un attaccante remoto di causare un 'denial of service' (crash) via elementi SIG RR con una data di scadenza non valida, che sono rimossi dal database interno di BIND e causano successivamente una 'null dereference.
Questi problemi sono stati risolti nella versione 8.3.3-2.0woody1 per la attuale distribuzione stable (woody), nella versione 8.2.3-0.potato.3 per la precedente distribuzione stable (potato) e nella versione 8.3.3-3 per la distribuzione unstable (sid). Il pacchetto di unstable entrerà nell'archivio oggi.
Suggeriamo di aggiornare i pacchetti bind immediatamente, aggiornare a bind9, o passare ad un'altra implementazione del server DNS.
- Risolto in:
-
Debian GNU/Linux 2.2 (oldstable)
- Sorgente:
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
- Componente indipendente dall'architettura:
- http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
Debian GNU/Linux 3.0 (stable)
- Sorgente:
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
- Componente indipendente dall'architettura:
- http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
- hppa (HP PA RISC):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
- ia64 (Intel ia64):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
- mips (MIPS (Big Endian)):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
- mipsel (MIPS (Little Endian)):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
- s390 (IBM S/390):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb
Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.