Säkerhetsbulletin från Debian

DSA-196-1 bind -- flera sårbarheter

Rapporterat den:
2002-11-14
Berörda paket:
bind
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 6159, BugTraq-id 6160, BugTraq-id 6161.
I Mitres CVE-förteckning: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
CERTs information om sårbarheter, bulletiner och incidenter: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.
Ytterligare information:

[Bind version 9, bind9-paketet, påverkas inte av dessa problem.]

ISS X-Force upptäckte flera allvarliga sårbarheter i Berkeley Internet Name Domain Server (BIND). BIND är den vanligaste implementationen av DNS-protokollet (Domain Name Service) och används av de allra flesta DNS-servrarna på Internet. DNS är ett livsviktigt Internetprotokoll som tillhandahåller en databas över lätt-ihågkomna domännamn (värdnamn) och deras motsvarande numeriska IP-adresser.

Indicier tyder på att Internet Software Consortium (ISC), vilka underhåller BIND, fick reda på dessa problem i mitten av oktober. Distributörer av operativsystem med öppen källkod, däribland Debian, fick veta om dessa sårbarheter via CERT ungefär 12 timmar före bulletinerna släpptes den 12 november. Detta meddelande innehöll inte några detaljer som gjort det möjligt för oss att identifiera den sårbara koden, än mindre förbereda rättelser i tid.

Tyvärr släppte ISS och ISC säkerhetsbulletiner som enbart innehöll beskrivningar av sårbarheterna, utan några patchar. Trots att det inte fanns några tecken på att sätt att utnyttja dessa problem är kända av de onda krafterna och att det ej heller förekommer några rapporter om aktiva angrepp, kunde sådana angrepp utvecklats under tiden – utan att några rättelser är tillgängliga.

Det enda vi kan göra är att beklaga att gruppen med det ironiska namnet Internet Software Consortiums är oförmögna att samarbeta med Internetsamfundet om att rätta detta problem. Förhoppningvis kommer inte detta att bli praxis i arbetet med säkerhetsproblem i framtiden.

Projektet Common Vulnerabilities and Exposures (CVE) identifierade följande sårbarheter:

  1. CAN-2002-1219: Ett buffertspill i BIND 8 version 8.3.3 och tidigare gör det möjligt för en angripare utifrån att exekvera godtycklig kod via specifika DNS-servrar som svarar på SIG-resursposter (RR). Detta buffertspill kan utnyttjas för att få tillgång till offervärden under det användar-id named-processen kör med, vanligtvis root.
  2. CAN-2002-1220: BIND 8 i versionerna 8.3.x till 8.3.3 gör det möjligt för en fjärrangripare att orsaka en överbelastningsattack (avsluta på grund av att en försäkran misslyckas) via en fråga om en underdomän som inte existerar, med en OPT-resurspost med en stor UDP-nyttolaststorlek.
  3. CAN-2002-1221: BIND 8 i versionerna 8.x till 8.3.3 gör det möjligt för en fjärrangripare att orsaka en överbelastningsattack (krasch) via SIG RR-element med ogiltiga utgångstider, vilka tas bort från den interna BIND-databasen och senare orsakar en avreferering av NULL.

Dessa problem har rättats i version 8.3.3-2.0woody1 för den nuvarande stabila utgåvan (Woody), i version 8.2.3-0.potato.3 för den gamla stabila utgåvan (Potato) samt i version 8.3.3-3 för den instabila utgåvan (Sid). De rättade paketen kommer komma in i arkivet idag.

Vi rekommenderar att ni uppgraderar ert bind-paket omedelbart, uppgradera till bind9, eller byta till en annan DNS-serverimplementation.

Rättat i:

Debian GNU/Linux 2.2 (oldstable)

Källkod:
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Källkod:
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):
http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb
http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.