Alerta de Segurança Debian
DSA-196-1 bind -- várias vulnerabilidades
- Data do Alerta:
- 14 Nov 2002
- Pacotes Afetados:
- bind
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 6159, ID BugTraq 6160, ID BugTraq 6161.
No dicionário CVE do Mitre: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
Alertas, notas de incidentes e vulnerabilidades do CERT: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31. - Informações adicionais:
-
[O Bind versão 9, pacote bind9, não é afetado por estes problemas.]
O ISS X-Force descobriu várias vulnerabilidades sérias no Berkeley Internet Name Domain Server (BIND). O BIND é a implementação mais comum do protocolo DNS (Domain Name Service), que é usado na maioria dos servidores DNS na Internet. O DNS é um protocolo vital que mantém uma base de dados com nomes de domínios fáceis de lembrar (nome de hosts) e seus correspondentes endereços IP.
Uma evidência circunstancial sugere que o Internet Software Consortium (ISC), mantenedores do BIND, ficaram cientes dessas questões no meio de Outubro. As distribuições de sistemas operacionais livres, incluindo a Debian, foram notificadas disso pelo CERT 12 horas antes do lançamento do alerta em 12 Novembro. Esta notificação não incluía nenhum detalhe que permitiria que identificassemos o código vulnerável, muito menos tempo hábil para o preparo de correções.
Infelizmente, o ISS e o ISC lançaram seus alertas de segurança somente com descrições das vulnerabilidades, sem qualquer patch. Mesmo assim, não há nenhum sinal de que esses exploits seja conhecidos pela comunidade de crackers e não há informações de ataques ativos, que poderiam ter sido desenvolvidos nesse meio tempo - sem correções disponíveis.
Todos nós gostariamos de expressar nosso espanto ao ver a incapacidade de um projeto, ironicamente chamado de Internet Software Consortium, em trabalhar com a comunidade da Internet para tratar este problema. Esperamos que isso não se torne um modelo para tratamento de questões de segurança no futuro.
O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes vulnerabilidades:
- CAN-2002-1219: Um buffer overflow no BIND 8 versões 8.3.3 e anteriores permitem que um atacante remoto execute código arbitrário através de certas respostas do servidor DNS que contenha entradas SIG (RR). Este buffer overflow pode ser explorado para obter acesso à máquina vítima debaixo da conta que roda o processo named, usualmente, a conta root.
- CAN-2002-1220: O BIND 8 versões 8.3.x até 8.3.3 permite que um atacante remoto cause um ataque de negação de serviço (queda devido a uma falha na asserção) através de uma solicitação de um subdomínio que não existe, com uma entrada OPT com um grande tamanho de carga de UDP.
- CAN-2002-1221: O BIND 8 versões 8.x até 8.3.3 permitem que um atacante remoto cause um ataque de negação de serviço (queda) através dos elementos SIG RR com um tempo de expiração inválido, que não foram removidos da base de dados BIND interna e depois causam uma referência nula.
Estes problemas foram corrigidos na versão 8.3.3-2.0woody1 para a atual distribuição estável (woody), na 8.2.3-0.potato.3 para a antiga distribuição estável (potato) e na versão 8.3.3-3 para a distribuição instável (sid). Os pacotes corrigidos para a sid irão entrar no arquivo hoje.
Nós recomendamos que você atualize seu pacote bind imediatamente, atualize para o bind9 ou utilize outra implementação de servidor DNS.
- Corrigido em:
-
Debian GNU/Linux 2.2 (oldstable)
- Fonte:
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
Debian GNU/Linux 3.0 (stable)
- Fonte:
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
- Componente independente de arquitetura:
- http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
- alpha (DEC Alpha):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
- arm (ARM):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
- hppa (HP PA RISC):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
- i386 (Intel ia32):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
- ia64 (Intel ia64):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
- m68k (Motorola Mc680x0):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
- mips (MIPS (Big Endian)):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
- mipsel (MIPS (Little Endian)):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
- powerpc (PowerPC):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
- s390 (IBM S/390):
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
- sparc (Sun SPARC/UltraSPARC):
- http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb
- http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.