Bacheca Debian sulla sicurezza

DSA-196-1 bind -- varie vulnerabilità

Data della segnalazione:
14 nov 2002
Pacchetti coinvolti:
bind
Vulnerabile:
Referenze all'interno del database della sicurezza:
Nel database Bugtraq (presso SecurityFocus): Numero del bug 6159, Numero del bug 6160, Numero del bug 6161.
Nel dizionario CVE di Mitre: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
Annunci di vulnerabilità e note d'incidenti del CERT: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Maggiori informazioni:

[Bind versione 9, il pacchetto bind9, non è affetto da questi problemi.]

ISS X-Force ha scoperto alcune vulnerabilità serie nel Berkeley Internet Name Domain Server (BIND). BIND è l'implementazione più diffusa del protocollo DNS (Domain Name Service), che è utilizzato dalla maggior parte dei server DNS di Internet. DNS è un protocollo vitale per Internet che mantiene una base dati dei nomi di dominio facili da ricordare (host name) e i loro corrispettivi indirizzi IP.

Prove circostanziali fanno capire che il Internet Software Consortium (ISC), manutentore di BIND, è stato reso a conoscenza di questi problemi a metà ottobre. I distributori di sistemi operativi Open Source, incluso Debian, ne hanno ricevuto notifica via CERT circa 12 ore prima dell'annuncio ufficiale del 12 novembre. Questa notifica non includeva alcun dettaglio che ci permettesse di identificare il codice vulnerabile, figuriamoci l'avere il tempo per risolvere il problema.

Sfortunatamente ISS e ISC hanno rilasciato i loro annunci con la sola descrizione della vulnerabilità, senza alcuna patch. Anche se non c'erano segnali che questi problemi fossero conosciuti alla comunità 'black-hat' e anche se non c'erano report di attacchi attivi, questi attacchi avrebbero potuto essere sviluppati nel frattempo - senza alcuna soluzione disponibile.

Esprimiamo il nostro dispiacere sulla impossibilità dell'ironicamente chiamato Internet Software Consortium di lavorare con la comunità Internet nel gestire questi problemi. Speriamo che questo non diventi un modello di gestione dei problemi legati alla sicurezza in futuro.

Il progetto Common Vulnerabilities and Exposures (CVE) ha identificato le seguenti vulnerabilità:

  1. CAN-2002-1219: Un overflow di bufer in BIND 8 versione 8.3.3 e precedenti permette ad un attaccante remoto di eseguire del codice qualsiasi tramite una certa risposta DNS contenga un record per la risorsa SIG (RR). Questo overflow puà essere sfruttato per ottenere accesso all'host vittima con l'account utilizzato da named, normalmente root.
  2. CAN-2002-1220: BIND 8 dalla versione 8.3.x alla 8.3.3 permette ad un attaccante remoto di causare un 'denial of service' (terminazione dovuta al fallimento di una assert()) tramite una richiesta per un sotto dominio inesistente con un record per la risorsa OPT con una grande 'payload' UDP.
  3. CAN-2002-1221: BIND 8 dalla versione 8.x alla 8.3.3 permette ad un attaccante remoto di causare un 'denial of service' (crash) via elementi SIG RR con una data di scadenza non valida, che sono rimossi dal database interno di BIND e causano successivamente una 'null dereference.

Questi problemi sono stati risolti nella versione 8.3.3-2.0woody1 per la attuale distribuzione stable (woody), nella versione 8.2.3-0.potato.3 per la precedente distribuzione stable (potato) e nella versione 8.3.3-3 per la distribuzione unstable (sid). Il pacchetto di unstable entrerà nell'archivio oggi.

Suggeriamo di aggiornare i pacchetti bind immediatamente, aggiornare a bind9, o passare ad un'altra implementazione del server DNS.

Risolto in:

Debian GNU/Linux 2.2 (oldstable)

Sorgente:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Sorgente:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.