Alerta de Segurança Debian

DSA-196-1 bind -- várias vulnerabilidades

Data do Alerta:
14 Nov 2002
Pacotes Afetados:
bind
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6159, ID BugTraq 6160, ID BugTraq 6161.
No dicionário CVE do Mitre: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
Alertas, notas de incidentes e vulnerabilidades do CERT: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Informações adicionais:

[O Bind versão 9, pacote bind9, não é afetado por estes problemas.]

O ISS X-Force descobriu várias vulnerabilidades sérias no Berkeley Internet Name Domain Server (BIND). O BIND é a implementação mais comum do protocolo DNS (Domain Name Service), que é usado na maioria dos servidores DNS na Internet. O DNS é um protocolo vital que mantém uma base de dados com nomes de domínios fáceis de lembrar (nome de hosts) e seus correspondentes endereços IP.

Uma evidência circunstancial sugere que o Internet Software Consortium (ISC), mantenedores do BIND, ficaram cientes dessas questões no meio de Outubro. As distribuições de sistemas operacionais livres, incluindo a Debian, foram notificadas disso pelo CERT 12 horas antes do lançamento do alerta em 12 Novembro. Esta notificação não incluía nenhum detalhe que permitiria que identificassemos o código vulnerável, muito menos tempo hábil para o preparo de correções.

Infelizmente, o ISS e o ISC lançaram seus alertas de segurança somente com descrições das vulnerabilidades, sem qualquer patch. Mesmo assim, não há nenhum sinal de que esses exploits seja conhecidos pela comunidade de crackers e não há informações de ataques ativos, que poderiam ter sido desenvolvidos nesse meio tempo - sem correções disponíveis.

Todos nós gostariamos de expressar nosso espanto ao ver a incapacidade de um projeto, ironicamente chamado de Internet Software Consortium, em trabalhar com a comunidade da Internet para tratar este problema. Esperamos que isso não se torne um modelo para tratamento de questões de segurança no futuro.

O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes vulnerabilidades:

  1. CAN-2002-1219: Um buffer overflow no BIND 8 versões 8.3.3 e anteriores permitem que um atacante remoto execute código arbitrário através de certas respostas do servidor DNS que contenha entradas SIG (RR). Este buffer overflow pode ser explorado para obter acesso à máquina vítima debaixo da conta que roda o processo named, usualmente, a conta root.
  2. CAN-2002-1220: O BIND 8 versões 8.3.x até 8.3.3 permite que um atacante remoto cause um ataque de negação de serviço (queda devido a uma falha na asserção) através de uma solicitação de um subdomínio que não existe, com uma entrada OPT com um grande tamanho de carga de UDP.
  3. CAN-2002-1221: O BIND 8 versões 8.x até 8.3.3 permitem que um atacante remoto cause um ataque de negação de serviço (queda) através dos elementos SIG RR com um tempo de expiração inválido, que não foram removidos da base de dados BIND interna e depois causam uma referência nula.

Estes problemas foram corrigidos na versão 8.3.3-2.0woody1 para a atual distribuição estável (woody), na 8.2.3-0.potato.3 para a antiga distribuição estável (potato) e na versão 8.3.3-3 para a distribuição instável (sid). Os pacotes corrigidos para a sid irão entrar no arquivo hoje.

Nós recomendamos que você atualize seu pacote bind imediatamente, atualize para o bind9 ou utilize outra implementação de servidor DNS.

Corrigido em:

Debian GNU/Linux 2.2 (oldstable)

Fonte:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Fonte:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.