Debianin tietoturvatiedote

DSA-196-1 bind -- useita haavoittuvuuksia

Ilmoitettu:

14.11.2002

Vaikutuksen alaiset paketit:

Altis:

Kyllä

Viittaukset tietoturvatietokantoihin:

Bugtraq-tietokannassa (SecurityFocuksella): BugTraq-tunniste 6159, BugTraq-tunniste 6160, BugTraq-tunniste 6161.
Mitren CVE-sanakirjassa: CVE-2002-0029, CVE-2002-1219, CVE-2002-1220, CVE-2002-1221.
CERT:n alttiudet, tiedotteet ja ongelmahuomiot: VU#581682, VU#844360, VU#852283, VU#229595, VU#542971, CA-2002-31.

Lisätietoa:

[Bind versio 9, bind9-paketti, ei ole altis näille ongelmille.]

ISS X-Force on löytänyt useita vakavia haavoittuvuuksia BIND:ista (Berkeley Internet Name Domain Server). BIND on yleisin toteutus DNS (Domain Name Service)-protokollasta, jota käytetään valtaosassa Internetin DNS-palvelimia. DNS on elintärkeä Internet-protokolla joka ylläpitää tietokantaa helposti muistettavista domain-nimistä (host names) ja niitä vastaavista numeerisista IP-osoitteista.

Aihetodistukset esittävät että Internet Software Consortium (ISC), BIND:in ylläpitäjä, oli tietoinen näistä seikoista lokakuun puolenvälin tienoilla. Open Source-käyttöjärjestelmien jakelijoille, mukaan lukien Debian, ilmoitettiin näistä haavoittuvuuksista CERT:in kautta noin 12 tuntia ennen marraskuun 12:nnen ilmoitusta. Tämä ilmoitus ei sisältänyt ainoatakaan yksityiskohtaista tietoa jotta olisimme voineet paikallistaa haavoittuvan kohdan koodista, puhumattakaan korjauksien valmistelusta ajallaan.

Valitettavasti ISS ja ISC julkaisivat tietoturvatiedotteissaan vain kuvaukset haavoittuvuuksista, ilman korjauksia. Vaikkakaan ei ollut merkkejä siitä että nämä aukot olisivat kräkkeriyhteisön tiedossa, ja että aktiivisista hyökkäyksistä ei ollut ilmoituksia, tällaisia hyökkäyksiä olisi voitu kehitellä tuona aikana - eikä korjauksia olisi ollut saatavilla.

Voimme kaikki ilmaista paheksuntamme ironisesti nimetyn Internet Software Consortiumin kyvyttömyydestä työskennellä Internet-yhteisön kanssa tämän ongelman käsittelyssä. Toivottavasti tästä ei tule tulevaisuuden mallia tietoturvaongelmien käsittelyyn.

The Common Vulnerabilities and Exposures (CVE)-projekti tunnisti seuraavat haavoittuvuudet:

CAN-2002-1219: Puskurin ylivuoto BIND 8:n versioissa 8.3.3, ja aiemmat, antaa etähyökkääjälle mahdollisuuden ajaa mielivaltaista koodia tietyn DNS-palvelimen SIG resource records (RR)-elementin sisältävän vastauksen kautta. Tätä puskurin ylivuotoa hyödyntämällä on mahdollista päästä hyökkäyksen kohteena olevalle palvelimelle named-prosessin käyttäjäoikeuksilla, tavallisesti root-oikeuksilla.
CAN-2002-1220: BIND 8:n versiot 8.3.x - 8.3.3 mahdollistavat etähyökkääjän aiheuttaa palveluneston (termination due to assertion failure) lähettämällä pyynnön olemattomasta alidomainista OPT resource record-elementillä, jonka UDP-hyötykuorman koko on suuri.
CAN-2002-1221: BIND 8:n versiot 8.x - 8.3.3 mahdollistavat etähyökkääjän aiheuttaa palveluneston (palvelimen kaatuminen) virheellisillä voimassaoloajoilla varustetuilla SIG RR-elementeillä. Virheelliset elementit poistetaan sisäisestä BIND-tietokannasta, joka myöhemmin johtaa tyhjään viittaukseen.

Nämä ongelmat on korjattu nykyisen vakaan jakelun (woody) versiossa 8.3.3-2.0woody1, aiemman vakaan jakelun (potato) versiossa 8.2.3-0.potato.3 ja epävakaan jakelun (sid) versiossa 8.3.3-3. Epävakaan jakelun korjatut paketit tulevat arkistoon tänään.

Suosittelemme päivittämään bind-paketin välittömästi, päivitä bind9:ään, tai vaihda johonkin muuhun DNS-palvelintoteutukseen.

Korjattu:

Debian GNU/Linux 2.2 (oldstable)

Lähde:: http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.dsc; http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3.diff.gz; http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/b/bind/task-dns-server_8.2.3-0.potato.3_all.deb; http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.2.3-0.potato.3_all.deb
alpha (DEC Alpha):: http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_alpha.deb; http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_alpha.deb
arm (ARM):: http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_arm.deb; http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_arm.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_arm.deb
i386 (Intel ia32):: http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_i386.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_i386.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_i386.deb
m68k (Motorola Mc680x0):: http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_m68k.deb; http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_m68k.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_m68k.deb
powerpc (PowerPC):: http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_powerpc.deb
sparc (Sun SPARC/UltraSPARC):: http://security.debian.org/pool/updates/main/b/bind/bind_8.2.3-0.potato.3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind/dnsutils_8.2.3-0.potato.3_sparc.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.2.3-0.potato.3_sparc.deb

Debian GNU/Linux 3.0 (stable)

Lähde:: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.dsc; http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1.diff.gz; http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3.orig.tar.gz
Arkkitehtuuririippumaton komponentti:: http://security.debian.org/pool/updates/main/b/bind/bind-doc_8.3.3-2.0woody1_all.deb
alpha (DEC Alpha):: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_alpha.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_alpha.deb
arm (ARM):: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_arm.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_arm.deb
hppa (HP PA RISC):: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_hppa.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_hppa.deb
i386 (Intel ia32):: http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_i386.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_i386.deb
ia64 (Intel ia64):: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_ia64.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_ia64.deb
m68k (Motorola Mc680x0):: http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_m68k.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_m68k.deb
mips (MIPS (Big Endian)):: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mips.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mips.deb
mipsel (MIPS (Little Endian)):: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_mipsel.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_mipsel.deb
powerpc (PowerPC):: http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_powerpc.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_powerpc.deb
s390 (IBM S/390):: http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_s390.deb; http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_s390.deb
sparc (Sun SPARC/UltraSPARC):: http://security.debian.org/pool/updates/main/b/bind/bind-dev_8.3.3-2.0woody1_sparc.deb; http://security.debian.org/pool/updates/main/b/bind/bind_8.3.3-2.0woody1_sparc.deb

Listattujen tiedostojen MD5-tarkistussummat ovat luettavissa alkuperäisestä tiedotteesta.

Tämä sivu on olemassa myös seuraavilla kielillä:

dansk Deutsch English español français Italiano Português svenska

Oletuskielen asettamisohjeet

Ilmoitukset www-sivustolla ilmenevästä ongelmasta voi lähettää (englanniksi) osoitteeseen debian-www@lists.debian.org. Muut yhteystiedot löytyvät kontaktisivulta.

Viimeksi muutettu: pe 8.8.2008 kello 12:21:38 UTC
Tekijänoikeudet © 2002-2008 SPI; Katso lisenssiehtoja
Debian on Software in the Public Interest, Inc.'in rekisteröimä tavaramerkki.