[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA - UNAM
Boletín de Seguridad UNAM-CERT 2002-019
Buffer Overflow en Múltiples Bibliotecas de Resolución de DNS.
------------------------------------------------------------------------
El CERT/UNAM-CERT, a través de sus equipos de respuesta a
incidentes de *Seguridad en Cómputo*, han emitido éste boletín en el
cual informan de la existencia de un buffer overflow en múltiples
implementaciones de bibliotecas de resolución de DNS. Los sistemas
operativos y aplicaciones que utilizan bibliotecas de resolución de
DNS vulnerables pueden ser afectados.
Un intruso puede enviar respuestas maliciosas al DNS de forma remota
y de esta manera explotar potencialmente esta vulnerabilidad
ejecutando código arbitrario o causando una negación de servicio en
el sistema vulnerable.
Fecha de Liberación: *26 de Junio de 2002*
Ultima Revisión: * --- *
Fuente: *CERT/CC y diversos reportes de Equipos de Respuesta a
Incidentes.
SISTEMAS AFECTADOS
--------------------
Aplicaciones utilizando implementaciones vulnerables de bibliotecas
de resolución de DNS (Domain Name System), las cuales incluyen y no
están limitadas a:
* Bibliotecas de Resolución de DNS BIN(Berkeley Internet Name
Domain) ISC (Internet Software Consortium) /(libbind)/.
* Bibliotecas de Resolución de DNS BSD(Berkeley Software
Distribution) /(libc)/ .
DESCRIPCIÓN
------------
El protocolo DNS proporciona nombres, direcciones, y demás
información sobre redes y dispositivos del Protocolo de Internet
(IP). Para acceder a la información, una aplicación de red utiliza
el resolvedor de nombres para realizar una búsqueda DNS. La
funcionalidad del resolvedor de nombres es implementada comúnmente
en bibliotecas que están incluidas en el sistema operativo.
Múltiples implementaciones de bibliotecas de resolución de DNS
contienen una vulnerabilidad de buffer overflow remotamente
explotable en la manera en que maneja las respuestas DNS. Ambas
bibliotecas de resolución, BSD (libc) e ISC (libbind), comparten un
código base común y son vulnerables a este problema; cualquier
implementación del resolvedor de nombres DNS que se derive del
código de cualquiera de las dos bibliotecas puede ser vulnerable.
Las aplicaciones de red que hacen uso de las bibliotecas de
resolución vulnerables son probablemente afectadas, de esta manera
el problema no está limitado a servidores DNS o BIND.
La Nota de Vulnerabilidad VU#803539 lista los distribuidores que han
sido contactados acerca de esta vulnerabilidad.
http://www.kb.cert.org/vuls/id/803539
Esta vulnerabilidad no es la misma que el problema de Sendmail
discutido en la Nota de Vulnerabilidad VU#814627:
http://www.kb.cert.org/vuls/id/814627
IMPACTO
-------
Un intruso capaz de enviar respuestas DNS maliciosas podría explotar
remotamente esta vulnerabilidad para ejecutar código arbitrario o
causar una negación de servicio en los sistemas vulnerables.
Cualquier código ejecutado por un intruso podría ejecutarse con
privilegios del proceso que hace el llamado a la función de
resolución vulnerable.
Se debe hacer notar que un intruso podría causar que uno de los
servicios de red de la víctima realice un requerimiento DNS a un
servidor DNS bajo el control del intruso. Esto podría permitir que
el intruso explote remotamente esta vulnerabilidad.
SOLUCIONES
----------
*Actualizar a una Versión no Vulnerable de las Bibliotecas de
Resolución de Nombres
Se debe hacer notar que las bibliotecas de resolución de nombres
pueden ser utilizadas por múltiples aplicaciones en la mayoría de
los sistemas. Podría ser necesario actualizar o aplicar múltiples
parches y recompilar las aplicaciones enlazadas estáticamente.
Las aplicaciones que son enlazadas *estáticamente* deben ser
recompiladas utilizando las bibliotecas de resolución corregidas.
Las aplicaciones que son enlazadas *dinámicamente* no necesitan ser
recompiladas, sin embargo, los servicios en ejecución necesitan ser
reiniciados para utilizar las bibliotecas de parches corregidas.
Los administradores de sistemas deberían considerar los siguientes
procesos cuando solucionen este problema:
# Aplicar un parche u obtener una actualización de las
bibliotecas de resolución.
# Reiniciar cualquier servicio enlazado dinámicamente que
utilice las bibliotecas de resolución.
# Recompilar cualquier aplicación enlazada estáticamente
utilizando las bibliotecas de resolución corregidas o
actualizadas.
*Utilice un Servidor DNS con Cache Local
Utilizando un Servidor DNS con Cache Local que reconstruya
respuestas DNS prevendrá respuestas maliciosas de sistemas
utilizando bibliotecas de resolución de DNS vulnerables. Por
ejemplo, BIND 9 reconstruye respuestas de esta manera, con la
excepción de reenviar mensajes DNS actualizados dinámicamente. Se
debe hacer notar que BIND 8 no reconstruye todas las respuestas; de
esta manera la solución temporal puede no ser efectiva cuando se
utilice BIND 8 como servidor DNS con cache.
APÉNDICE A. Información de Distribuidores
-----------------------------------------
Este Apéndice contiene información proporcionada por los
distribuidores de éste boletín. Tan pronto como los distribuidores
reporten nueva información al CERT/UNAM-CERT, se actualizará esta
sección. Si un distribuidor en particular no se encuentra listado a
continuación, significa que no se han recibido comentarios de su parte.
* Compaq
Compaq esta investigando actualmente el impacto potencial de los
productos de software del Sistema Operativo liberado por Compaq.
* Cray, Inc.
El código del resolvedor de nombres de DNS proporcionado por
Cray, Inc. en Unicos y Unicos/mk es vulnerable. El SPR 722619 ha
sido abierto para seguir este problema.
* FreeBSD
Consulte
ftp://ftp.NetBSD.ORG/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc
* GNU ADSN
Adns no está derivado de BIND libresolv. Además, no soporta una
interface gethostbyname (el cual es el problema en BIND
libresolv). De esta manera, no es vulnerable.
Para mayor información de GNU adns, consulte:
http://www.gnu.org/software/adns/
http://www.chiark.greenend.org.uk/~ian/adns/
* Internet Software Consortium
Todas las versiones de BIND 4 a la 4.8.3 anteriores a la 4.9.9
son vulnerables.
Todas las versiones de BIND 8 anteriores a la 8.2.6 son vulnerables.
Todas las versiones de BIND 8.3.x anteriores a la 8.3.3 son
vulnerables.
Todas las versiones de BIND 9.2.0 y 9.2.1 son vulnerables.
La versión de BIND 4.8 parece ser no vulnerable.
Las versiones de BIND 9.0 y 9.1 no son vulnerables.
Las liberaciones de actualización pueden ser encontradas en::
ftp://ftp.isc.org/isc/bind/src/4.9.9/
ftp://ftp.isc.org/isc/bind/src/8.2.6/
ftp://ftp.isc.org/isc/bind/src/8.3.3/
ftp://ftp.isc.org/isc/bind/contrib/ntbind-8.3.3/
BIND 9 contiene una copia de la biblioteca de resolución BIND
8.3.x. Esta biblioteca se actualizará en la siguiente liberación
de BIND 9 (9.2.2/9.3.0), mientras tanto se puede utilizar el
BIND 8.3.3 original.
Además el llamado BIND 9 puede ser utilizado para prevenir
repuestas malformadas de clientes vulnerables.
* Microsoft
Microsoft no utiliza las bibliotecas en cuestión. Los productos
de Microsoft no son afectados por este problema.
* OpenBSD
Las bibliotecas de resolución en cuestión fueron copiadas e
incluidas desde hace tiempo. Estas continuamente presentaron
muchos problemas y bugs en su contenido.
Ahora es tiempo para que la gente las compare las bibliotecas
unas con otras (bibliotecas de OpenBSD con las antiguas). Se
sugiere a todos aquellos interesados en compararlas contra las
que se incluyen el código de BSD, donde se invirtió una gran
cantidad de tiempo en las revisiones y auditorias de código, y
en las que también la falla afecta.
* NetBSD
Consulte
ftp://ftp.NetBSD.ORG/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc
* Network Appliance
Algunos sistemas NetApp son vulnerables a este problema.
Consulte http://now.netapp.com para mayor información.
* SGI
SGI esta investigando el problema.
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en la
siguiente dirección:
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-019.html
http://www.cert.org/advisories/CA-2002-019.html
Para mayor información acerca de éste boletín de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPR0aRnAvLUtwgRsVAQEx9wf7BGoNOYgVqiumtFzHzO4GJ8QzPQF2j8ud
4TqmvIUB3AqcQH3e9TaOB0WzbjTkYbQb9ZkktCnSPtjXIiv8aRnQm8V4wf/W5SG7
4jO6KiNmTCCkspainT/EAfml05NFE0gbwgQwFEyVrhKnbRR59tqY2InSmMhy/I/N
MZzbRC6boxs8NsXGtYxqI4k0AxtZ0aptlIEFV6TlI4rHpt5yKz2Yom09KopEKpWM
I0+WpSf6O/ATi/5x3qCANa1Dt82IykvSJGrlYbKdqrm9efiaC5nQgyBxPxAD+qD2
aJ/QEaoV0Yxz0vrQW2e0Uz0hLnzyw160oILc3iWNWzgNLx1MTtMNgg==
=dxZT
-----END PGP SIGNATURE-----
---------------------------------------------------------------------
Lista de soporte de LinuxPPP
Reglas de la lista en http://linuxppp.com/reglas.html