NBSO - NIC BR Security Office
CGI.br - Comitê Gestor da Internet no Brasil
Chave PGP: http://www.nbso.nic.br/pgp/nbso@nic.br.asc

Tradução dos Advisories do CERT/CC, com permissão especial do Software Engineering Institute (SEI).

CERT^® Advisory CA-2002-15 Vulnerabilidade de Negação de Serviço no ISC BIND 9

Data original de lançamento: 04 de junho de 2002
Última Revisão: --
Origem: CERT/CC

Um histórico completo das revisões pode ser encontrado ao final deste documento.

Sistemas Afetados

• Servidores de DNS (Domain Name System) usando o ISC BIND 9 anterior à versão 9.2.1.

  Devido ao fato de que a operação normal da maioria dos serviços Internet depende da correta operação dos servidores DNS, outros serviços podem ser afetados se esta vulnerabilidade for explorada.

Resumo

Existe uma vulnerabilidade de negação de serviço na versão 9 do servidor BIND (Berkeley Internet Name Domain) distribuído pela ISC (Internet Software Consortium). As versões 8 e 4 do ISC BIND não são afetadas. Esta vulnerabilidade, ao ser explorada, fará com que o servidor BIND seja desativado.

I. Descrição

O BIND é uma implementação do protocolo DNS, mantida pela ISC. Existe uma vulnerabilidade na versão 9 do BIND que permite que atacantes remotos desativem o servidor BIND. Um atacante pode desativar o servidor através do envio de um pacote específico do protocolo DNS, com o objetivo de acionar um rotina interna de verificação de consistência. Entretanto, esta vulnerabilidade não permitirá que um atacante execute código arbitrário ou escreva em posições arbitrárias da memória.

A verificação de consistência que causa a falha no servidor ocorre quando o parâmetro rdataset da função dns_message_findtype() do programa message.c não tem o valor NULL, como esperado. Esta condição faz com que o código envie uma mensagem de erro e chame a função abort(), que desativa o servidor BIND. Também é possível ativar acidentalmente esta condição ao utilizar consultas comuns, encontradas em diversas operações de rotina, especialmente consultas originadas de servidores SMTP.

Uma "Vulnerability Note" descrevendo este problema pode ser encontrada em http://www.kb.cert.org/vuls/id/739123. Este documento inclui uma lista de fabricantes que já foram contactados a respeito desta vulnerabilidade.

Esta vulnerabilidade pode também ser referenciada como CAN-2002-0400:

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0400

II. Impacto

Esta vulnerabilidade, ao ser explorada, fará com que o servidor BIND aborte sua execução e seja destivado. Como resultado, o servidor BIND não estará disponível, a menos que seja reiniciado.

III. Solução

Aplicar uma correção disponibilizada pelo seu fornecedor

A ISC lançou o BIND versão 9.2.1. O CERT/CC recomenda que os usuários de BIND 9 apliquem a correção disponibilizada pelo fornecedor do seu sistema ou migrem para o BIND versão 9.2.1.

Apêndice A. - Informações dos Fornecedores

Este apêndice contém informações providas pelos próprios fornecedores para inclusão neste documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários.

Apple

A versão de BIND que acompanha o Mac OS X e o Mac OS X Server não possui esta vulnerabilidade.

BSDI

A Wind River Systems, Inc. não inclui o BIND 9 em nenhuma versão do BSD/OS.

Caldera

O Caldera SCO OpenServer não possui o BIND9 em sua distribuição e, deste modo, não é vulnerável.

O Caldera Open UNIX possui o BIND9 em sua distribuição, sendo deste modo vulnerável. Nós estamos investigando.

O Caldera OpenLinux não possui o BIND9 em sua distribuição e, deste modo, não é vulnerável.

Compaq Computer Corporation

Produtos HP Alpha Server:

HP Tru64 UNIX:
O Tru64 UNIX não é vulnerável a este problema. O HP Tru64 UNIX vem com o BIND 8.2.2-p5.

TCP/IP para HP OpenVms:
O TCP/IP para HP OpenVms não é vulnerável a este problema. A versão corrente do TCP/IP para HP OpenVms possui o BIND 8.2.2-p5.

HP NonStop Server:
"O HP NonStop Himalaya não é vulnerável a este problema. A função 'named' do DNS (T6021) que é implementada no HP NonStop Himalaya é baseada no BIND 4.8. O NonStop DNS é o único software da Himalaya que inclui a função 'named'."

Cray

O Cray, Inc. não é vulnerável pois o BIND distribuído com o Unicos e o Unicos/mk não é baseado no BIND 9.

Engarde

A Guardian Digital não incorpora o BIND 9 em nenhuma versão do Engarde Secure Linux, deste modo não somos vulneráveis. Todas as versões possuem o BIND 8.

F5 Networks, Inc.

Os produtos da F5 Networks não incluem o BIND 9 e, desta forma, não são afetados por esta vulnerabilidade.

FreeBSD

O FreeBSD, em sua instalação básica, não possui o ISC BIND 9 instalado. Entretando, o ISC BIND 9 está disponível no sistema de Ports do FreeBSD. Sua versão corrente é a 9.2.1, não sendo portanto afetada.

Hewlett-Packard Company

Os softwares da HP são vulneráveis, as investigações por uma solução estão em andamento.

IBM

Depois de análises no componente afetado, a IBM determinou que o daemon de bind do AIX não é vulnerável ao ataque descrito no advisory do CERT.

Internet Software Consortium

Esta vulnerabilidade foi encontrada durante um processo rotineiro de análise do código. O BIND 9 é projetado para encerrar a execução quando um erro de consistência é detectado para, deste modo, reduzir o impacto de erros no servidor. A ISC recomenda fortemente que todos os usuários do BIND 9 façam um upgrade imediato para a versão 9.2.1. O BIND 9.2.1 pode ser encontrado em http://www.isc.org/products/BIND/bind9.html.

MandrakeSoft

O Mandrake Linux 8.x vem com o BIND 9, os pacotes de atualização estarão disponíveis em breve.

Microsoft Corporation

A Microsoft revisou as informações e pode confirmar que nossos produtos não são afetados por esta vulnerabilidade.

NEC Corporation

enviado em 3 de junho de 2002

[Linha de Servidores]

* Sistema operacional série EWS/UP 48
  - NÃO é vulnerável.

NetBSD

O NetBSD não inclui o Bind 9 na instalação básica de nenhuma de suas linhas de desenvolvimento (release ou -current).

O Bind 9 está disponível no sistema de instalação de aplicativos, pkgsrc. Usuários que tenham instalado o net/bind9 ou o net/bind9-current devem atualizá-lo para uma versão corrigida. Para manter-se atualizado com relação a correções de segurança, pode ser usado o pkgsrc/security/audit-packages.

Network Appliance

Nenhum produto da NetApp contém código derivado do BIND, não sendo deste modo vulnerável a este problema.

Nortel Networks Limited

A Nortel Networks está revisando todos os seus produtos para verificar se algum pode ser afetado pela vulnerabilidade citada no CERT Advisory CA-2002-15. Uma posição definitiva será anunciada em breve.

Red Hat

O BIND 9 é distribuído nas versões 7.1, 7.2 e 7.3 do Red Hat Linux. Estamos trabalhando em pacotes de atualização que, quando concluídos, estarão disponíveis juntamente com o nosso advisory na URL abaixo. Os usuários do serviço Red Hat Network poderão atualizar seus sistemas utilizando a ferramenta 'up2date'.

http://rhn.redhat.com/errata/RHSA-2002-105.html

Silicon Graphics, Inc.

O sistema IRIX não possui o BIND9 e não é vulnerável.

Sun Microsystems

A Sun não incorpora o BIND 9 em nenhuma versão de Solaris no momento, deste modo não é afetada por esta vulnerabilidade.

SuSE, Inc.

Nós somos afetados pela vulnerabilidade de DoS do bind9. No momento, todos os nossos produtos SuSE Linux, aos quais damos suporte, vêm com o pacote de bind9 instalado. Nós faremos uma declaração a respeito do assunto, de maneira coordenada com e não antes de observar seu anúncio oficial.

Unisphere Networks, Inc.

A família de roteadores de borda da Unisphere Networks ERX não possui nenhum servidor de DNS ou bind implementado no Unison OS. Adicionalmente, o cliente DNS encontrado no ERX não é baseado no código do ISC BIND. A Unisphere Networks não tem razões para acreditar que possa existir um problema similar na implementação do cliente DNS do ERX.

O CERT Coordination Center agradece à Internet Software Consortium pela notificação a respeito desta vulnerabilidade.

Autor: Ian A. Finlay

Informações de Contato do CERT/CC

Email: cert@cert.org

Telefone: +1 412-268-7090 (Hotline 24 horas)

Fax: +1 412-268-6989

Endereço para correspondência:

CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos.

Utilização de criptografia

Nós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em:

• http://www.cert.org/CERT_PGP.key

Se você preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações.

Obtendo informações sobre segurança

As publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:

• http://www.cert.org/

Para inscrever-se na lista de advisories e boletins do CERT, envie um email para majordomo@cert.org, incluindo o seguinte no corpo da sua mensagem:

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

Translations of CERT/CC Advisories, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute.

Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.

NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org).

NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org.

NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.

Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.

No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work.

Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.

This permission is granted on a non-exclusive basis for non-commercial purposes.

Conditions for use, disclaimers, and sponsorship information

Copyright 2002 Carnegie Mellon University.

Histórico de Revisões
04 de junho de 2002: Lançamento da versão inicial