OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
secure_at_conectiva.com.br
Date: Thu Nov 14 2002 - 11:37:17 CST

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    - -------------------------------------------------------------------------
    ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
    - -------------------------------------------------------------------------

    PACOTE : bind
    RESUMO : Vulnerabilidades remotas no servidor de DNS BIND
    DATA : 2002-11-14 15:36:00
    ANÚNCIO : CLA-2002:546
    EDIÇÕES : 6.0

    - -------------------------------------------------------------------------

    DESCRIÇÃO DO PROBLEMA
     "bind" é um servidor de nomes (DNS) bastante usado na Internet e em
     redes locais.
     
     ISS reportou[7] a existência de diversas vulnerabilidades em várias
     versões do pacote BIND. Estas vulnerabilidades variam de negação de
     serviço (DoS) à execução remota de código arbitrário com os
     privilégios do processo "named".
     
     As seguintes vulnerabilidades afetam o Conectiva Linux 6.0 (versões
     posteriores do Conectiva Linux utilizam o bind versão 9.x que não
     possui qualquer um dos problemas reportados):
     
     1) Vulnerabilidade de buffer overflow (CAN-2002-1219) [5]
     Um atacante que consiga fazer com que o servidor DNS vulnerável faça
     consultas recursivas a um domínio controlado pelo atacante pode
     explorar esta vulnerabilidade e executar código arbitrário no
     servidor com os privilégios do usuário dono do processo "named". Os
     pacotes do Conectiva Linux, por padrão, usam um usuário não
     privilegiado para este serviço, e não root. Além disso, se o pacote
     bind-chroot estiver sendo usado ao invés do pacote bind, este serviço
     estará rodando numa "jaula" no diretório /var/named. Mas isto apenas
     impõe algumas dificuldades a mais para o atacante, pois limita o
     acesso a outras áreas do sistema de arquivos.
     
     2) Vulnerabilidade de negação de serviço (CAN-2002-1221) [6]
     Registros SIG RR com tempos de expiração inválidos recebidos por
     versões vulneráveis do BIND farão com que o serviço seja encerrado,
     caracterizando uma situação de negação de serviço. Um atacante que
     controle um domínio qualquer que seja consultado por este servidor de
     nomes vulnerável conseguiria portanto interromper o serviço de
     resolução de nomes da vítima.
     
     
     Histórico
     
     Os pacotes aqui disponibilizados foram corrigidos com patches que
     foram disponibilizados publicamente pela ISC[3] há menos de 24 horas
     atrás. A Conectiva e a grande maioria das distribuições GNU/Linux foi
     notificada dessa vulnerabilidade cerca de 12 horas antes do anúncio
     público[7] feito pela ISS. Lamentamos e vemos com preocupação o fato
     de não ter existido nenhuma tentativa de coordenação da publicação
     desse incidente por parte da ISC, principalmente em se tratando de um
     serviço essencial para o funcionamento da Internet como é o serviço
     de resolução de nomes (DNS).
     
     A Conectiva acredita[8] no que se chama de "responsible full
     disclosure", ou seja, todos os detalhes possíveis sobre uma
     vulnerabilidade devem ser sempre de conhecimento público, mas é
     importante que exista um prazo mínimo para que as correções sejam
     preparadas e estejam disponíveis simultaneamente com o anúncio da
     vulnerabilidade, de forma que os usuários possam utilizar as
     atualizações imediatamente. Acreditamos que este método é o que traz
     a maior segurança possível para todos os usuários, pois, no caso de
     uma correção não estar disponível a tempo por causa de uma demora
     excessiva de algum fabricante (por exemplo), pelo menos todos os
     usuários são notificados do problema em todos os seus detalhes e
     podem tomar medidas preventivas.
     

    SOLUÇÃO
     Todos os usuários do servidor DNS BIND no Conectiva Linux 6.0 devem
     atualizar os pacotes imediatamente. Após a atualização, o serviço
     será reiniciado automaticamente se necessário.
     
     Caso não seja possível fazer a atualização imediatamente,
     recomenda-se que pelo menos o recurso de consultas recursivas seja
     desabilitado ou restringido através da seguinte diretiva no arquivo
     de configuração named.conf:
     
     options {
      recursion no;
     };
     
     Também é possível restringir as redes que podem fazer esse tipo de
     consultas através da diretiva "allow-recursion".
     
     
     
     REFERÊNCIAS
     1.http://www.isc.org/
     2.http://www.cert.org/advisories/CA-2002-31.html
     3.http://www.isc.org/products/BIND/patches/bind826.diff
     4.http://www.isc.org/products/BIND/bind-security.html
     5.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1219
     6.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1221
     7.https://gtoc.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
     8.http://distro.conectiva.com.br/seguranca/problemas/

    PACOTES RPM
    ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/bind-8.2.6-1U60_2cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/bind-chroot-8.2.6-1U60_2cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-8.2.6-1U60_2cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-chroot-8.2.6-1U60_2cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-devel-8.2.6-1U60_2cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-devel-static-8.2.6-1U60_2cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-doc-8.2.6-1U60_2cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-utils-8.2.6-1U60_2cl.i386.rpm

    INSTRUÇÕES ADICIONAIS
     Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
     atualizações de pacotes RPM:
     - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
     acrescente-a:

     rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

      (substitua "versão" pela sua versão. Por exemplo, 7.0)

     - execute: apt-get update
     - seguido por: apt-get upgrade

     Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
     http://distro.conectiva.com.br/atualizacoes/#apt

    - -------------------------------------------------------------------------
    Todos os pacotes listados aqui também são assinados com a chave GPG da
    Conectiva. A chave, bem como instruções de como importá-la, pode ser
    encontrada em http://distro.conectiva.com.br/seguranca/chave/.
    Instruções para checar a assinatura dos pacotes podem ser encontradas em
    http://distro.conectiva.com.br/seguranca/politica/.

    - -------------------------------------------------------------------------
    Todos os anúncios de atualizações são armazenados e podem ser consultados
    na página http://distro.conectiva.com.br/atualizacoes/.
    Instruções genéricas para atualizações são fornecidas na mesma página.

    - -------------------------------------------------------------------------
    A Conectiva possui uma lista pública para discutir assuntos de segurança
    relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
    para obter mais informações.

    - -------------------------------------------------------------------------
    cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
    cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (GNU/Linux)
    Comment: For info see http://www.gnupg.org

    iD8DBQE9099M42jd0JmAcZARAq+pAJ9e9J3qmIqEW5urnnLHRrWCjZ8Y/QCcDozC
    ZU9WLtvcTVLocLq8u3DEPbQ=
    =3nfM
    -----END PGP SIGNATURE-----