Debian セキュリティ勧告

DSA-196-1 bind -- 複数の脆弱性

報告日時:
2002-11-14
影響を受けるパッケージ:
bind
危険性:
あり
参考セキュリティデータベース:
(SecurityFocus の) Bugtraq データベース: BugTraq ID 6159, BugTraq ID 6160, BugTraq ID 6161.
Mitre の CVE 辞書: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
CERT の脆弱性リスト、勧告および付加情報: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
詳細:

[Bind バージョン 9、bind9 パッケージにはこの問題は影響しません。]

ISS X-Force が Berkeley Internet Name Domain サーバ (BIND) に複数の深刻な脆弱性を発見しました。BIND は最も普及している DNS (ドメイン名サービス) プロトコルの実装で、インターネット上の大多数の DNS サーバで使われています。DNS は覚えやすいドメイン名 (ホスト名) とそれに対応する数値の IP アドレスのデータベースを管理する、不可欠なインターネットプロトコルです。

この問題について、BIND のメンテナである the Internet Software Consortium (ISC) が 10 月中旬に把握していたことを状況証拠が暗示しています。Debian を含めたオープンソースオペレーティングシステムのディストリビューターは、11 月 12 日の勧告発表の約 12 時間前に CERT を経由してこの脆弱性について通知されました。 この通知には脆弱なコードを特定できるような詳細が一切含まれず、 早期修正に取りかかるにはほど遠いものでした。

残念ながら ISS および ISC が発表するセキュリティ勧告は脆弱性の説明をするだけで、 パッチはありません。 悪用者のコミュニティに悪用方法が知られた兆候や活発な攻撃の報告がないとはいえ、 そういった攻撃方法は修正が利用可能にならないうちに開発される可能性があります。

We can all express our regret at the inability of the 皮肉なことに named Internet Software Consortium to work with the インターネット コミュニティ in handling この問題は. Hope完全に this will not become a model for dealing with セキュリティissues in the future.

The Common Vulnerabilities and Exposures (CVE) project は以下の脆弱性を認識しています:

  1. CAN-2002-1219: BIND 8 のバージョン 8.3.3 およびそれ以前にあるバッファオーバフローにより、リモートの攻撃者に特定の DNS サーバの SIG リソースレコード (RR) を含む応答を経由した任意のコードの実行を許しています。 このバッファオーバフローを悪用して、攻撃対象者のホストで named プロセスが動作しているアカウント、通常 root の権限を取得することが可能です。
  2. CAN-2002-1220: BIND 8 のバージョン 8.3.3 までの 8.3.x では、サイズの大きな UDP ペイロードを持つ OPT リソースレコード (RR) を伴う、存在しないサブドメインのリクエストを経由して、 リモートの攻撃者がサービス拒否 (assertion failure による終了) を引き起こすことが可能です。
  3. CAN-2002-1221: BIND 8 バージョン 8.3.3 までの 8.x では、リモートの攻撃者が不正な有効期間を持つ SIG リソースレコード (RR) を経由してサービス拒否 (crash) を引き起こすことが可能です。 このリソースレコード (RR) は内部の BIND データベースからは削除され、後から null 値参照を引き起こします。

この問題は現在の安定版 (stable) ディストリビューション (woody) ではバージョン 8.3.3-2.0woody1、旧安定版 (stable) ディストリビューション (potato) ではバージョン 8.2.3-0.potato.3、不安定版 (unstable) ディストリビューション (sid) ではバージョン 8.3.3-3 で修正されています。unstable の修正されたパッケージは今日アーカイブに入る予定です。

直ちに bind パッケージを更新するか bind9 へのアップグレード、あるいは他の DNS サーバの実装に切り替えることを勧めます。

修正:

Debian GNU/Linux 2.2 (oldstable)

ソース:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

ソース:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。