[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Departamento de Seguridad en C'omputo DGSCA- UNAM Boletin de Seguridad DSC 2000-0011 Vulnerabilidad en ISC-BIND del tipo Negacion de Servicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . En los ultimos d'ias se han recibido reportes que indican la prescencia de ataques del tipo negaci'on de servicio en dos programas contenidos dentro del software BIND que distribuye y mantiene la casa Internet Software Consortium(ISC). Esta Vulnerabilidad ha sido descubierta y trabajada por el Grupo de respuesta a incidentes CERT(Computer Emergency Response Team), el cual detecto este comportamiento en diversos sistemas que contienen el software ISC-BIND y que su boletin en formato original puede consultarse en: http://www.cert.org/advisories/CA-2000-20.html La primera Vulnerabilidad se refiere como "zxfr bug" y afecta a las versiones ISC BIND version 8.2.2 en sus versiones actualizadas(patch 1 a la 6). La segunda vunerabilidad llamada "srv bug", afecta a las versiones 8.2 hasta la 8.2.2-P6. DESCRIPCION ----------- El cosorcio ISC(Internet Software Consortium), casa que se encarga de mantener y actualizar el software BIND, recientemente recibio informacion acerca de diversas vulnerabilidades del tipo negacion de servicio que afectan al programa BIND. Si estas vulnerabilidades son explotadas por los intrusos les pueden permitir de forma remota el poder detener los servicios del Servicio de Servidor de Nombres(DNS). Para mas informaci'on y detalles acerca de estas vulnerabilidades en BIND le recomendamos consultar : http://www.isc.org/products/BIND/bind-security.html Dichas vulnerabilidades has sido catalogadas por el ISC y el CERT/CC como vulnerabilidades serias que pueden afectar el funcionamiento propio y adecuado de las redes dentro del internet. 1. Vulnerabilidad "zxfr bug" Usando esta vulnerabilidad, los intrusos qeu son permitidos usar las peticiones de transferencia de zona pueden forzar una caida al demonio 'named' que se encuentra en ejecuci'on en los servidores DNS, perdiendo y negando el servicio de resoluci'on de nombres hasta que el demonio es reiniciado. Las unicas condiciones que hay que considerar para que dicho ataque sea exitoso es que las peticiones a las zonas de trasnferencia comprimidas(ZXFR) sean realizadas desde un sitio v'alido para poder llevar a cabo cualquier petici'on a la zona de transferencia(No solo ZXFR), y que una busqueda subsecuente del servicio de nombres de registros del tipo authoritative y non-cached sean realizados. El tiempo entre el ataque y la caida del servicio de nombres puede variar dependiendo del sistema. Esta vulnerabilidad ya ha sido discutida en diversos foros. El ISC ha confirmado que todas las plataformas que ejecutan la version 8.2.2 de le software BIND con una version anterior a la version 8.2.2P7 son vulnerables a dicho ataque. 2. Vulnerabiidad "srv bug" Esta vulnerabilidad puede causar que los servidores de resolucion de nombres o servidores DNS puedan caer en un ciclo infinito, debido a peticiones posteriores dirigidas. Esto puede ocurrir si un registro del tipo SRV(descrito en el RFC2782) es enviado al servidor vulnerable. Dentro del Directorio Microsoft's Windows 2000 Active este servicio se hace extensivo al uso de los registro SRV y es segun se informa capaz de accionar este fallo de funcionamiento en el curso de operaciones normales. Esto no es sinembargo una vulnerabilidad en el directorio Microsoft. Cualquier cliente conectado en la red capaz de enviar registros del tipo SRV al servidor de nombres vulnerable puede llevar a cabo los pasos anteriormente descritos. A la fecha el CERT/CC y el DSC de la UNAM no ha recibido reportes directos de alguna de estas vunerabilidades que hayan sido explotadas a la fecha. Ambas vunerabilidades pueden ser usadas por intrusos maliciosos para irrumpir los servicios DNS ofrecidos por el servidor y exponiendo a todos los servidores del tipo DNS en el inetrnet. Se recomienda ampliamente a los Administradores de sistemas actualizar a la brevedad a la ultima version del software BIND en cualquiera de sus distribuciones sea ISC o cualquier vendedor. Recomendamos consultar el apendice de informacion de vendedores descrito en la parte inferior de este docuemnto. , , , , , , , * IMPACTO * , , , , , , , Con esta vulnerabilidad en el ISC-BIND los servicios de resolucion de nombres (DNS) pueden ser deshabilitados en los servidores afectados desde servidores remotos, provocando que el servicio no se realice y no funcione de forma apropiada. , , , , , , , * INFORMACION * , , , , , , , 1. Aplicar un parche de actualizaci'on. El DSC de la UNAM recomienda a todos los usuarios y administradores de sistemas que usen servidores de nombres con software ISC BIND, que se actualice a la brevedad dicho software. La ultima version actualizada de BIND es 8.2.2-P7, la cual corrige dichas fallas y nos previene de el tipo de ataques DoS(Negacion de servicio) Para todos aquellos que usen un servidor de nombres de algun fabricante o vendedor distinto al descrito, le recomendamos verificar con su distribuidor acerca de nuevas versiones que corrijan dicha vulnerabilidad. 2. Reestringir las Zonas de transferencias a servidores confiables. Si no es posible actualizar de forma inmediata los sistemas afectados por la vulnerabilidad "zxfr", el ISC sugiere no permitir la zona de transferencia a los servidores no confiables. Sin embargo llevar a cabo este paso no disminuye los efectos de un ataque a la vulnerabiidad "srv" ----------------------------------------------- APENDICE A : Informacion adicional ----------------------------------------------- A continuaci'on listamos los principales sistemas operativos en los cuales se ha analizado si presentan fallas en la vulnerabilidad descrita anteriormente. * The Internet Software Consortium Para la ultima informaci'on acerca de estas vulnerabilidades descritas, le sugerimos consultar el sitio web del ISC en: http://www.isc.org/products/BIND/bind-security.html * Caldera Vulnerable y el boletin disponible en: http://www.calderasystems.com/support/security/advisories/CSSA-2000-040.0.txt Actualizacion de paquetes disponibles en: OpenLinux Desktop 2.3 ftp://ftp.calderasystems.com/pub/updates/OpenLinux/2.3/current 9d8429f25c5fb3bebe2d66b1f9321e61 RPMS/bind-8.2.2p7-1.i386.rpm 0e958eb01f40826f000d779dbe6b8cb3 RPMS/bind-doc-8.2.2p7-1.i386.rpm 866ff74c77e9c04a6abcddcc11dbe17b RPMS/bind-utils-8.2.2p7-1.i386.rpm 6a545924805effbef01de74e34ba005e SRPMS/bind-8.2.2p7-1.src.rpm OpenLinux eServer 2.3 ftp://ftp.calderasystems.com/pub/updates/eServer/2.3/current 379c4328604b4491a8f3d0de44e42347 RPMS/bind-8.2.2p7-1.i386.rpm b428b824c8b67f2d8d4bf53738a3e7e0 RPMS/bind-doc-8.2.2p7-1.i386.rpm 28311d630281976a870d38abe91f07fb RPMS/bind-utils-8.2.2p7-1.i386.rpm 6a545924805effbef01de74e34ba005e SRPMS/bind-8.2.2p7-1.src.rpm OpenLinux eDesktop 2.4 ftp://ftp.calderasystems.com/pub/updates/eDesktop/2.4/current c37b6673cc9539e592013ac114846940 RPMS/bind-8.2.2p7-1.i386.rpm bbe0d7e317fde0d47cba1384f6d4b635 RPMS/bind-doc-8.2.2p7-1.i386.rpm 5c28dd5641a4550c03e9859d945a806e RPMS/bind-utils-8.2.2p7-1.i386.rpm 6a545924805effbef01de74e34ba005e SRPMS/bind-8.2.2p7-1.src.rpm * Compaq Computer Corporation FUENTE : Compaq Computer Corporation Compaq Services Software Security Response Team USA El sistema Operativo Compaq Tru64/UNIX no es vulnerable a estos problemas reportados. * Conectiva Consultar los boletines de Conectiva Linux Security CLSA-2000:339 en: http://listserv.securityportal.com/SCRIPTS/WA-SECURITYPORTAL.EXE?A1=ind0011&L=linux-security#27 * Debian Consultar Debian Security notice 20001112, bind en : http://www.debian.org/security/2000/20001112 * FreeBSD Todas las versiones de FreeBSD despues de la version 4.0-RELEASE no son vulnerables a este programa, debido a que incluyen la version 8.2.3. Las versiones anteriores a FreeBSD 4.0-RELEASE son vulnerables a los problemas reportados debido a que incluyen versiones anteriores de BIND. * Hewlett-Packard HP es vulnerble a los problemas descritos con anterioridad y actualmente trabajan en las actualizaciones parta su correccion. * Immunix Las versiones de Immunix Linux 6.2 y 7.0 beta son vulnerables y se ha pubicado un boletin al respecto que se puede consultar en: http://www.immunix.org/ImmunixOS/7.0-beta/updates/IMNX-2000-70-005-01 for * MandrakeSoft Consultar "MDKSA-2000:067: bind" en: http://www.linux-mandrake.com/en/security/MDKSA-2000-067.php3 * Microsoft Corporation Los sistemas Windows 2000 y Windows NT 4.0 no son vulnerables a estos problemas. * NetBSD NetBSD es vunerabe a estos problemas y la ultima version de dicho sistema ha sido actualizada para usar la version BIND 8.2.2-P7 y estara presenta en la nueva version del sistema NetBSD 1.5 release * RedHat Consultar el boletin "RHSA-2000:107-01: Updated bind packages fixing DoS attack", disponible en: http://www.redhat.com/support/errata/RHSA-2000-107.html * Slackware Si es vulnerable y se recomienda que para actualizar los paquetes de dicha distribucion consultar : ftp://ftp.slackware.com/pub/slackware/slackware-current/slakware/n1/bind.tgz , , , , , , , * INFORMACION * , , , , , , , El DSC agradece al CERT/CC de los EU por la investigaci'on y publicaci'on del boletin. Para Mayor Informaci'on o Detalles de este bolet'in contactar a: Departamento Seguridad en C'omputo DGSCA- UNAM Tel : 56 22 81 69 Fax : 56 22 80 43 E-Mail : seguridad en seguridad unam mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx --- Juan Carlos Guel Lopez Departamento Seguridad en C'omputo E-mail: dsc en seguridad unam mx DGSCA, UNAM Tel.: 5622-81-69 Fax: 5622-80-43 Circuito Exterior, C. U. WWW: http://www.seguridad.unam.mx/ 04510 Mexico D. F. PGP: finger dsc en ds5000 super unam mx --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx