-------------------------------------------------------------------------- Alerta de Segurança Debian DSA 196-1 security@debian.org http://www.debian.org/security/ Daniel Jacobowitz 14 de Novembro de 2002 http://www.debian.org/security/faq -------------------------------------------------------------------------- Pacote : bind Vulnerabilidade : várias Tipo de Problema : remoto Específico ao Debian : não Id CVE : CAN-2002-1219 CAN-2002-1220 CAN-2002-1221 Alerta CERT : VU#844360 VU#852283 VU#229595 VU#542971 [O Bind versão 9, pacote bind9, não é afetado por estes problemas.] O ISS X-Force descobriu várias vulnerabilidades sérias no Berkeley Internet Name Domain Server (BIND). O BIND é a implementação mais comum do protocolo DNS (Domain Name Service), que é usado na maioria dos servidores DNS na Internet. O DNS é um protocolo vital que mantém uma base de dados com nomes de domínios fáceis de lembrar (nome de hosts) e seus correspondentes endereços IP. Uma evidência circunstancial sugere que o Internet Software Consortium (ISC), mantenedores do BIND, ficaram cientes dessas questões no meio de Outubro. As distribuições de sistemas operacionais livres, incluindo a Debian, foram notificadas disso pelo CERT 12 horas antes do lançamento do alerta em 12 Novembro. Esta notificação não incluía nenhum detalhe que permitiria que identificassemos o código vulnerável, muito menos tempo hábil para o preparo de correções. Infelizmente, o ISS e o ISC lançaram seus alertas de segurança somente com descrições das vulnerabilidades, sem qualquer patch. Mesmo assim, não há nenhum sinal de que esses exploits seja conhecidos pela comunidade de crackers e não há informações de ataques ativos, que poderiam ter sido desenvolvidos nesse meio tempo - sem correções disponíveis. Todos nós gostariamos de expressar nosso espanto ao ver a incapacidade de um projeto, ironicamente chamado de Internet Software Consortium, em trabalhar com a comunidade da Internet para tratar este problema. Esperamos que isso não se torne um modelo para tratamento de questões de segurança no futuro. O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes vulnerabilidades: 1. CAN-2002-1219: Um buffer overflow no BIND 8 versões 8.3.3 e anteriores permitem que um atacante remoto execute código arbitrário através de certas respostas do servidor DNS que contenha entradas SIG (RR). Este buffer overflow pode ser explorado para obter acesso à máquina vítima debaixo da conta que roda o processo named, usualmente, a conta root. 2. CAN-2002-1220: O BIND 8 versões 8.3.x até 8.3.3 permite que um atacante remoto cause um ataque de negação de serviço (queda devido a uma falha na asserção) através de uma solicitação de um subdomínio que não existe, com uma entrada OPT com um grande tamanho de carga de UDP. 3. CAN-2002-1221: O BIND 8 versões 8.x até 8.3.3 permitem que um atacante remoto cause um ataque de negação de serviço (queda) através dos elementos SIG RR com um tempo de expiração inválido, que não foram removidos da base de dados BIND interna e depois causam uma referência nula. Estes problemas foram corrigidos na versão 8.3.3-2.0woody1 para a atual distribuição estável (woody), na 8.2.3-0.potato.3 para a antiga distribuição estável (potato) e na versão 8.3.3-3 para a distribuição instável (sid). Os pacotes corrigidos para a sid irão entrar no arquivo hoje. Nós recomendamos que você atualize seu pacote bind imediatamente, atualize para o bind9 ou utilize outra implementação de servidor DNS. -------------------------------------------------------------------------- Essa é uma tradução do DSA original, enviado para a lista debian-security-announce@lists.debian.org. Caso queira receber os alertas em inglês e minutos depois de sua publicação, inscreva-se na lista acima, através do endereço: http://www.debian.org/MailingLists/subscribe#debian-security-announce --------------------------------------------------------------------------
Attachment:
pgpWL4hlon7Si.pgp
Description: PGP signature