[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- ------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Cómputo DGSCA - UNAM Boletín de Seguridad UNAM-CERT 2002-019 Buffer Overflow en Múltiples Bibliotecas de Resolución de DNS. ------------------------------------------------------------------------ El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de *Seguridad en Cómputo*, han emitido éste boletín en el cual informan de la existencia de un buffer overflow en múltiples implementaciones de bibliotecas de resolución de DNS. Los sistemas operativos y aplicaciones que utilizan bibliotecas de resolución de DNS vulnerables pueden ser afectados. Un intruso puede enviar respuestas maliciosas al DNS de forma remota y de esta manera explotar potencialmente esta vulnerabilidad ejecutando código arbitrario o causando una negación de servicio en el sistema vulnerable. Fecha de Liberación: *26 de Junio de 2002* Ultima Revisión: * --- * Fuente: *CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS -------------------- Aplicaciones utilizando implementaciones vulnerables de bibliotecas de resolución de DNS (Domain Name System), las cuales incluyen y no están limitadas a: * Bibliotecas de Resolución de DNS BIN(Berkeley Internet Name Domain) ISC (Internet Software Consortium) /(libbind)/. * Bibliotecas de Resolución de DNS BSD(Berkeley Software Distribution) /(libc)/ . DESCRIPCIÓN ------------ El protocolo DNS proporciona nombres, direcciones, y demás información sobre redes y dispositivos del Protocolo de Internet (IP). Para acceder a la información, una aplicación de red utiliza el resolvedor de nombres para realizar una búsqueda DNS. La funcionalidad del resolvedor de nombres es implementada comúnmente en bibliotecas que están incluidas en el sistema operativo. Múltiples implementaciones de bibliotecas de resolución de DNS contienen una vulnerabilidad de buffer overflow remotamente explotable en la manera en que maneja las respuestas DNS. Ambas bibliotecas de resolución, BSD (libc) e ISC (libbind), comparten un código base común y son vulnerables a este problema; cualquier implementación del resolvedor de nombres DNS que se derive del código de cualquiera de las dos bibliotecas puede ser vulnerable. Las aplicaciones de red que hacen uso de las bibliotecas de resolución vulnerables son probablemente afectadas, de esta manera el problema no está limitado a servidores DNS o BIND. La Nota de Vulnerabilidad VU#803539 lista los distribuidores que han sido contactados acerca de esta vulnerabilidad. http://www.kb.cert.org/vuls/id/803539 Esta vulnerabilidad no es la misma que el problema de Sendmail discutido en la Nota de Vulnerabilidad VU#814627: http://www.kb.cert.org/vuls/id/814627 IMPACTO ------- Un intruso capaz de enviar respuestas DNS maliciosas podría explotar remotamente esta vulnerabilidad para ejecutar código arbitrario o causar una negación de servicio en los sistemas vulnerables. Cualquier código ejecutado por un intruso podría ejecutarse con privilegios del proceso que hace el llamado a la función de resolución vulnerable. Se debe hacer notar que un intruso podría causar que uno de los servicios de red de la víctima realice un requerimiento DNS a un servidor DNS bajo el control del intruso. Esto podría permitir que el intruso explote remotamente esta vulnerabilidad. SOLUCIONES ---------- *Actualizar a una Versión no Vulnerable de las Bibliotecas de Resolución de Nombres Se debe hacer notar que las bibliotecas de resolución de nombres pueden ser utilizadas por múltiples aplicaciones en la mayoría de los sistemas. Podría ser necesario actualizar o aplicar múltiples parches y recompilar las aplicaciones enlazadas estáticamente. Las aplicaciones que son enlazadas *estáticamente* deben ser recompiladas utilizando las bibliotecas de resolución corregidas. Las aplicaciones que son enlazadas *dinámicamente* no necesitan ser recompiladas, sin embargo, los servicios en ejecución necesitan ser reiniciados para utilizar las bibliotecas de parches corregidas. Los administradores de sistemas deberían considerar los siguientes procesos cuando solucionen este problema: # Aplicar un parche u obtener una actualización de las bibliotecas de resolución. # Reiniciar cualquier servicio enlazado dinámicamente que utilice las bibliotecas de resolución. # Recompilar cualquier aplicación enlazada estáticamente utilizando las bibliotecas de resolución corregidas o actualizadas. *Utilice un Servidor DNS con Cache Local Utilizando un Servidor DNS con Cache Local que reconstruya respuestas DNS prevendrá respuestas maliciosas de sistemas utilizando bibliotecas de resolución de DNS vulnerables. Por ejemplo, BIND 9 reconstruye respuestas de esta manera, con la excepción de reenviar mensajes DNS actualizados dinámicamente. Se debe hacer notar que BIND 8 no reconstruye todas las respuestas; de esta manera la solución temporal puede no ser efectiva cuando se utilice BIND 8 como servidor DNS con cache. APÉNDICE A. Información de Distribuidores ----------------------------------------- Este Apéndice contiene información proporcionada por los distribuidores de éste boletín. Tan pronto como los distribuidores reporten nueva información al CERT/UNAM-CERT, se actualizará esta sección. Si un distribuidor en particular no se encuentra listado a continuación, significa que no se han recibido comentarios de su parte. * Compaq Compaq esta investigando actualmente el impacto potencial de los productos de software del Sistema Operativo liberado por Compaq. * Cray, Inc. El código del resolvedor de nombres de DNS proporcionado por Cray, Inc. en Unicos y Unicos/mk es vulnerable. El SPR 722619 ha sido abierto para seguir este problema. * FreeBSD Consulte ftp://ftp.NetBSD.ORG/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc * GNU ADSN Adns no está derivado de BIND libresolv. Además, no soporta una interface gethostbyname (el cual es el problema en BIND libresolv). De esta manera, no es vulnerable. Para mayor información de GNU adns, consulte: http://www.gnu.org/software/adns/ http://www.chiark.greenend.org.uk/~ian/adns/ * Internet Software Consortium Todas las versiones de BIND 4 a la 4.8.3 anteriores a la 4.9.9 son vulnerables. Todas las versiones de BIND 8 anteriores a la 8.2.6 son vulnerables. Todas las versiones de BIND 8.3.x anteriores a la 8.3.3 son vulnerables. Todas las versiones de BIND 9.2.0 y 9.2.1 son vulnerables. La versión de BIND 4.8 parece ser no vulnerable. Las versiones de BIND 9.0 y 9.1 no son vulnerables. Las liberaciones de actualización pueden ser encontradas en:: ftp://ftp.isc.org/isc/bind/src/4.9.9/ ftp://ftp.isc.org/isc/bind/src/8.2.6/ ftp://ftp.isc.org/isc/bind/src/8.3.3/ ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/ BIND 9 contiene una copia de la biblioteca de resolución BIND 8.3.x. Esta biblioteca se actualizará en la siguiente liberación de BIND 9 (9.2.2/9.3.0), mientras tanto se puede utilizar el BIND 8.3.3 original. Además el llamado BIND 9 puede ser utilizado para prevenir repuestas malformadas de clientes vulnerables. * Microsoft Microsoft no utiliza las bibliotecas en cuestión. Los productos de Microsoft no son afectados por este problema. * OpenBSD Las bibliotecas de resolución en cuestión fueron copiadas e incluidas desde hace tiempo. Estas continuamente presentaron muchos problemas y bugs en su contenido. Ahora es tiempo para que la gente las compare las bibliotecas unas con otras (bibliotecas de OpenBSD con las antiguas). Se sugiere a todos aquellos interesados en compararlas contra las que se incluyen el código de BSD, donde se invirtió una gran cantidad de tiempo en las revisiones y auditorias de código, y en las que también la falla afecta. * NetBSD Consulte ftp://ftp.NetBSD.ORG/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc * Network Appliance Algunos sistemas NetApp son vulnerables a este problema. Consulte http://now.netapp.com para mayor información. * SGI SGI esta investigando el problema. INFORMACIÓN ----------- Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-019.html http://www.cert.org/advisories/CA-2002-019.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: 2.6.3i Charset: cp850 iQEVAwUBPR0aRnAvLUtwgRsVAQEx9wf7BGoNOYgVqiumtFzHzO4GJ8QzPQF2j8ud 4TqmvIUB3AqcQH3e9TaOB0WzbjTkYbQb9ZkktCnSPtjXIiv8aRnQm8V4wf/W5SG7 4jO6KiNmTCCkspainT/EAfml05NFE0gbwgQwFEyVrhKnbRR59tqY2InSmMhy/I/N MZzbRC6boxs8NsXGtYxqI4k0AxtZ0aptlIEFV6TlI4rHpt5yKz2Yom09KopEKpWM I0+WpSf6O/ATi/5x3qCANa1Dt82IykvSJGrlYbKdqrm9efiaC5nQgyBxPxAD+qD2 aJ/QEaoV0Yxz0vrQW2e0Uz0hLnzyw160oILc3iWNWzgNLx1MTtMNgg== =dxZT -----END PGP SIGNATURE----- _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/