[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE-----
------------------------------------------------------------------
UNAM-CERT
Departamento de Seguridad en Cómputo
DGSCA- UNAM
Boletín de Seguridad UNAM-CERT 2002-031
Múltiples Vulnerabilidades en BIND
------------------------------------------------------------------
El CERT/UNAM-CERT , a través de sus equipos de respuesta a
incidentes de Seguridad en Cómputo, han emitido éste boletín en el
cual informan de la existencia de múltiples vulnerabilidades con
varios impactos encontradas en BIND, el popular servidor de
nombres de dominio y paquete de software de biblioteca de cliente
de ISC (Internet Software Consortium).
Algunas de estas vulnerabilidades pueden permitir que intrusos
remotos ejecuten código arbitrario con los privilegios del usuario
"named" (típicamente Administrador Local), ó con los privilegios
de las aplicaciones del cliente vulnerables. Las otras
vulnerabilidades permitirán a los intrusos remotos desestabilizar
la operación normal del servicio de nombres de DNS ejecutándose en
los servidores víctimas.
Fecha de 14 de Noviembre de
Liberación: 2002
Ultima Revisión: - - - - -
CERT/CC y diversos
Fuente: reportes de Equipos de
Respuesta a
Incidentes.
SISTEMAS AFECTADOS
------------------
* Sistemas ejecutando varias versiones de BIND 4 y BIND 8
Debido a que la operación normal de la mayoría de los servicios en
el Internet depende de la correcta operación de los servidores
DNS, otros servicios podrían ser afectados si estas
vulnerabilidades son explotadas.
DESCRIPCIÓN
-----------
Han sido encontradas múltiples vulnerabilidades en BIND (Berkeley
Internet Name Domain). Algunas de estas vulnerabilidades
(VU#852283, VU#844360) podrían permitir que intrusos remotos
ejecuten código arbitrario con los privilegios del usuario
ejecutando named , típicamente Administrador Local. La otra
vulnerabilidad (VU#229595, VU#581682) permitirá que intrusos
remotos desestabilicen la operación normal del servidor de
nombres, causando posiblemente que falle.
* Vulnerabilidades en el Servidores DNS de BIND
VU#852283 - Buffer Overflow en Registro SIG Malformado en Cache
Esta vulnerabilidad es un buffer overflow en named. Puede ocurrir
cuando respuestas son construidas utilizando registros SIG
malformados previamente en cache. (Los registros SIG esta
asociados típicamente con datos DNS firmados criptográficamente).
El exploit de esta vulnerabilidad puede permitir la ejecución de
código arbitrario como el uid named, típicamente Administrador
Local.
Las siguientes versiones de BIND son afectadas:
+ Versiones 4.9.5 a 4.9.10
+ Versiones 8.1, 8.2 a 8.2.6 y 8.3.0 a 8.3.3
VU#229595 - Confirmación de Registro OPT Demasiado Grande
ISC BIND 8 falla al manejar adecuadamente consultas de DNS para
subdominios no existentes cuando registros de recurso OPT
demasiado grandes son agregados a la búsqueda. Cuando una
respuesta de dominio no existente (NXDOMAIN) es construida por un
servidor de nombre víctima, una confirmación puede ser lanzada si
el cliente pasa un tamaño de buffer UDP grande. Esta confirmación
causará que la ejecución de named termine.
Las siguientes versiones de BIND son afectadas:
+ Versiones 8.3.0 a 8.3.3
VU#581682 - ISC BIND 8 Falla al Referenciar Propiamente Elementos
SIG RR en Cache con Tiempos de Expiración Inválidos desde Bases de
Datos Internas
La descripción de ISC de esta vulnerabilidad establece:
Es posible de-referenciar un apuntador NULO a ciertos valores de
expiración de firmas.
Las siguientes versiones de BIND son afectadas:
+ Versiones 8.2 a 8.2.6
+ Versiones 8.3.0 a 8.3.3
* Vulnerabilidades en el Resolver de DNS de BIND
VU#844360 - Bibliotecas del Resolver para DNS Stub son Vulnerables
a Buffer Overflows Mediante Nombres de Red ó Consulta de
Direcciones
Un intruso podría ejecutar código arbitrario con los privilegios
de la aplicación que hizo el requerimiento o causar una negación
de servicio. El intruso podría necesitar el control de los
contenidos de las repuestas de DNS, posiblemente usurpando
respuestas u obteniendo el control de un servidor DNS.
Estas vulnerabilidades son distintas a los problemas discutidos en
CA-2002-19. Las siguientes bibliotecas del Resolver para DNS Stub
se conoce que son afectadas:
+ Versiones 4.9.2 a la 4.9.10
Adicionalmente, estos problemas son mapeados a CVE como:
VU#852283 - CAN-2002-1219
VU#229595 - CAN-2002-1220
VU#581682 - CAN-2002-1221
VU#844360 - CAN-2002-0029
IMPACTO
-------
VU#852283 - Buffer Overflow en Registro SIG Malformado en Cache
Un intruso remoto podría ejecutar código arbitrario en el servidor
de nombres con los privilegios del uid named , típicamente
Administrador Local.
VU#229595 - Confirmación de Registro OPT Demasiado Grande
Un intruso remoto puede alterar la operación normal del servidor
de nombres, causando que falle su funcionamiento.
VU#581682 - ISC BIND 8 Falla al Referenciar Propiamente Elementos
SIG RR en Cache con Tiempos de Expiración Inválidos desde Bases de
Datos Internas
Un intruso remoto puede alterar la operación normal del servidor
de nombres, causando que falle su funcionamiento.
VU#844360 - Bibliotecas del Resolver para DNS Stub son Vulnerables
a Buffer Overflows Mediante Nombres de Red ó Consulta de
Direcciones
Un intruso podría ejecutar código arbitrario con los privilegios
de la aplicación que hizo el requerimiento o causar una negación
de servicio. El intruso podría necesitar controlar el contenido de
las respuestas de DNS, posiblemente usurpando respuestas u
obteniendo el control de un servidor DNS.
SOLUCIONES
----------
* Aplicar una Actualización del Distribuidor
El Apéndice A contiene información proporcionada por los
distribuidores de éste boletín. Tan pronto como los distribuidores
reporten nueva información al CERT/UNAM-CERT, se actualizará esta
sección. Si un distribuidor en particular no se encuentra listado
a continuación, significa que no se han recibido comentarios de su
parte.
Si una actualización de algún distribuidor no esta disponible, se
puede considerar aplicar las actualizaciones que ISC ha producido:
BIND 8.3.3 - http://www.isc.org/products/BIND/patches/bind833.diff
BIND 8.2.6 - http://www.isc.org/products/BIND/patches/bind826.diff
BIND 4.9.10 -
http://www.isc.org/products/BIND/patches/bind4910.diff
Para VU#844360 , Buffer Overflow en libresolv de BIND 4, será
requerida una actualización de una versión corregida de las
bibliotecas del resolver de DNS.
Se debe hacer notar que las bibliotecas del resolver de DNS pueden
ser utilizadas por múltiples aplicaciones en muchos sistemas.
Puede ser necesario actualizar o aplicar múltiples actualizaciones
y después recompilar estáticamente las aplicaciones relacionadas.
Las aplicaciones que están relacionadas estáticamente deben ser
recompiladas utilizando actualizaciones de las bibliotecas del
resolver. Las aplicaciones que están relacionadas dinámicamente no
necesitan ser recompiladas; sin embargo, los servicios en
ejecución necesitan ser reiniciados para utilizar las bibliotecas
del resolver actualizadas.
Los administradores de sistemas deberían considerar los siguientes
procesos al momento de solucionar este problema:
1. Actualizar u obtener bibliotecas del resolver actualizadas.
2. Reiniciar cualquier servicio relacionado que utilice las
bibliotecas del resolver.
3. Recompilar cualquier aplicación relacionada estáticamente
utilizando bibliotecas del resolver actualizadas.
Soluciones Temporales
--------------------
VU#852283 - Buffer Overflow en Registro SIG Malformado en Cache
VU#229595 - Confirmación de Registro OPT Demasiado Grande
VU#581682 - ISC BIND 8 Falla al Referenciar Propiamente Elementos
SIG RR en Cache con Tiempos de Expiración Inválidos desde Bases de
Datos Internas
Cualquier solución temporal para limitar la exposición a las
vulnerabilidades en named es deshabilitar la recursión o cualquier
respuesta del servidor de nombres a consultas de DNS realizadas
por sistemas no confiables. Como se menciona en Securing an
Internet Name Server":
"Al deshabilitar la recursión se pone al servidor en un
modo pasivo, diciéndole que nunca envíe consultas en
lugar de otros servidores de nombres o resolvers. Un
servidor de nombres totalmente no recursivo está
protegido del ataque chache poisoning, debido a esto,
solamente responderá a consultas dirigidas al mismo.
Éste no envía consultas, y por lo tanto no almacena en
cache ningún dato. Deshabilitando la recursión se puede
prevenir también que los intrusos lancen ataques de
negación de servicio contra servidor de nombres desde
zonas externas."
* Contramedidas Adicionales
ISC recomienda actualizar a la versión 9.2.1 de BIND. La versión
9.2.1 de BIND esta disponible de
http://www.isc.org/products/BIND/bind9.html.
Se debe hacer notar que la actualización de las versiones
anteriores de BIND podría requerir configuración adicional del
sitio.
APÉNDICE A. Información de Distribuidores
-----------------------------------------
Este apéndice contiene información proporcionada por los
distribuidores de éste boletín. Si un distribuidor en particular
reporta nueva información al CERT/UNAM-CERT, esta sección será
actualizada.
Conectiva
Conectiva Linux 6.0 es afectada por esta vulnerabilidad.
Los paquetes de actualización se encuentran disponibles
en la siguiente dirección:
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-chroot-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-devel-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-devel-static-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-doc-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-utils-8.2.6-1U60_2cl.i386.rpm
Un boletín relacionado con éste problema será liberado
para los usuarios de dicha distribución a través de las
listas de correo y será publicado en las páginas Web
oficiales de esta distribución durante el día (Nov. 14).
Cray Inc.
Cray Inc. puede ser vulnerable, debido a lo anterior,
han abierto un expediente spr 723892 el cual se
encuentra en proceso de investigación.
Debian GNU/Linux
Debian (entre otros distribuidores de GNU/Linux) es
vulnerable a éste problema y proporciona paquetes que
realizan la corrección de las vulnerabilidades que son
anunciados en DSA 196.
FreeBSD
Consulte el documento FreeBSD-SA-02:43.bind.
Hewlett-Packard Company
FUENTE: Hewlett-Packard Company Software Security
Response team x-ref: SSRT2408
Al momento de la emisión de éste boletín, Hewlett
Packard se encuentra investigando el impacto que pueda
representar dicha vulnerabilidad en los sistemas
operativos de HP. Conforme HP informe el riesgo
potencial de esta vulnerabilidad esta será distribuida
por los canales oficiales de dicho fabricante a través
de boletines, anuncios que serán distribuidos por los
canales apropiados.
MandrakeSoft
Linux-Mandrake 7.2 y Single Network Firewall 7.2 son las
únicas distribuciones que contienen BIND8 y a las cuales
se les brinda soporte. Todas las demás distribuciones
contienen el software BIND9 y no son vulnerables. Las
actualizaciones para Linux-Mandrake 7.2 y Single Network
Firewall 7.2 serán publicadas en breve. Estas
actualizaciones consisten de los paquetes ya
actualizados que corrigen las fallas en los paquetes de
BIND8, así mismo MandrakeSoft recomienda que aquellos
usuarios con BIND8 actualicen a BIND9.
Microsoft Corporation
Los productos de Microsoft no utilizan el programa en
cuestión. Los productos de Microsoft no son afectados
por éste problema.
MontaVista Software
MontaVista incluye en su distribución BIND 9, por lo que
no es vulnerable a lo descrito por éste boletín.
Nominum, Inc.
Nominum "Foundation" Authoritative Name Server (ANS) no
es afectado por esta vulnerabilidad. De igual forma,
Nominum "Foundation" Caching Name Server (CNS) no es
afectado por esta vulnerabilidad. Los productos
comerciales de Nominum los cuales son parte de los
productos Nominum "Foundation" IP Address Suite, no son
vulnerables, debido a que no están basados en BIND y no
contienen código de BIND, por lo que las
vulnerabilidades descritas anteriormente no afectan los
productos del fabricante.
Openwall Project
BIND 4.9.10-OW2 incluye el parche de seguridad
proporcionado por ISC y corrige las dos vulnerabilidades
que afectan BIND 4, las cuales ya han sido corregidas.
Los parches de seguridad de versiones anteriores de BIND
4.9.x-OW si se han aplicado de manera correcta reducirán
de forma significativa el impacto de la vulnerabilidad
en "named". Los parches están disponibles de:
http://www.openwall.com/bind/
Un parche de seguridad para la versión de BIND 4.9.11
aparecerá tan pronto como esta versión sea liberada,
aunque será probablemente será la misma que está
actualmente disponible, la versión 4.9.10-OW2. No se ha
investigado completamente si el código del resolver en
glibc, y en particular en Openwall GNU/*/Linux, comparte
cualquiera de las vulnerabilidades descubiertas en la
biblioteca del resolver de BIND 4. El análisis está en
progreso.
Red Hat, Inc.
Las antiguas liberaciones de Linux Red Hat (6.2, 7.0)
que contienen versiones de BIND pueden ser vulnerables a
éstos problemas, sin embargo, un boletín de seguridad de
Red Hat liberado en Julio de 2002 actualizó todas las
distribuciones a BIND 9.2.1, la cual no es vulnerable a
éstos problemas
Todos los usuarios que han instalado BIND deberían
asegurarse que están ejecutando estas versiones
actualizadas de BIND.
http://rhn.redhat.com/errata/RHSA-2002-133.html Red Hat
Linux
http://rhn.redhat.com/errata/RHSA-2002-119.html Advanced
Server 2.1
APÉNDICE B. Referencias
-----------------------
1. "Securing an Internet Name Server" -
http://www.cert.org/archive/pdf/dns.pdf
2. "Internet Security Systems Security Advisory - Multiple
Remote Vulnerabilities in BIND4 and BIND8" -
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
3. "BIND Vulnerabilities" -
http://www.isc.org/products/BIND/bind-security.html
4. "RFC2671 - Extension Mechanisms for DNS (EDNS0)" -
ftp://ftp.isi.edu/in-notes/rfc2671.txt
INFORMACIÓN
-----------
Éste documento se encuentra disponible en su formato original en
la siguiente dirección:
http://www.cert.org/advisories/CA-2002-031.html
Para mayor información acerca de éste boletín de seguridad
contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad en seguridad unam mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
- --
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
DGSCA, UNAM E-mail: unam-cert en seguridad unam mx
Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43
Del. Coyoacan WWW: http://www.seguridad.unam.mx
04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx
-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850
iQEVAwUBPdQ9tnAvLUtwgRsVAQGiLQf/aH/2ODjqnnh0/22nCtN7ydkRANOyMgiH
8B0iJ020CSYM0PZqRwA4dzL/rcwgxPzrWRJyTU9UydZtAjNEhUvH/jQyCTaWorje
hqD3awcF6k1oyFJXExRnw6ZNEJa01nIyVltfQM8AIokF6+2i8j2MzQCSewHuBb13
Tq7i0NF7c/2MJWLs/PkCp4R2jEAvJnHxQF5qQ6LLm/CeAPqv3dw0fmC8DAk8selR
nMkIIlcDY9i/sCuMhOvwgytozpblKqsXz45TSJbDX2mrd1gfihaZIPrzqNpRN/xW
gyiWK2phzRu7DSH3JkP1KiNBLu1SE2GGxnLgT+m1hEq9trpQ1sqCHw==
=Rb5V
-----END PGP SIGNATURE-----
Lista de correo linux en opensource org mx
Preguntas linux-owner en opensource org mx
http://www.opensource.org.mx/