NBSO - NIC BR Security Office
CGI.br - Comitê Gestor da Internet no Brasil
Chave PGP: http://www.nbso.nic.br/pgp/nbso@nic.br.asc

Tradução dos Advisories do CERT/CC, com permissão especial do Software Engineering Institute (SEI).

CERT^® Advisory CA-2002-31 Múltiplas Vulnerabilidades no BIND

Data original de lançamento: 14 de novembro de 2002
Última Revisão: --
Origem: CERT/CC

Um histórico completo das revisões pode ser encontrado ao final deste documento.

Sistemas Afetados

• Sistemas utilizando diversas versões de BIND 4 e BIND 8

  Como a operação normal da maioria dos serviços na Internet depende da operação apropriada dos servidores de DNS, outros serviços podem ser afetados se estas vulnerabilidades forem exploradas.

Resumo

Foram descobertas múltiplas vulnerabilidades, com impactos variados, no BIND, o popular pacote de software servidor DNS e de bibliotecas clientes DNS fornecido pelo ISC (Internet Software Consortium).

Algumas destas vulnerabilidades podem permitir a atacantes remotos a execução de código arbitrário com os privilégios do usuário que executa o named (geralmente o root) ou com os privilégios das aplicações clientes vulneráveis. As outras vulnerabilidades permitem a atacantes remotos interferir na operação normal do serviço DNS sendo executado nos servidores vítimas.

I. Descrição

Múltiplas vulnerabilidades foram encontradas no BIND (Berkeley Internet Name Domain). Algumas destas vulnerabilidades (VU#852283, VU#844369) podem permitir que atacantes remotos executem código arbitrário com os privilégios do usuário executando o named, geralmente o root. As outras vulnerabilidades (VU#229595, VU#581682) permitem que atacantes remotos interfiram na operação normal de seu servidor de nomes, possivelmente causando uma pane (crash).

Vulnerabilidades no Servidor DNS BIND

VU#852283 - "Buffer overflow" em registros SIG malformados armazenados em cache

Esta vulnerabilidade é um "buffer overflow" no named. Ela pode ocorrer quando respostas são construídas usando registros SIG malformados previamente armazenados no cache (registros SIG normalmente estão associados a dados DNS assinados criptograficamente). A exploração desta vulnerabilidade pode levar à execução de código arbitrário com o uid do named, geralmente o root.

As seguintes versões do BIND são afetadas:

• BIND versões 4.9.5 até 4.9.10
• BIND versões 8.1, 8.2 até 8.2.6 e 8.3.0 até 8.3.3

VU#229595 - Verificação de registro OPT muito grande

O ISC BIND 8 não consegue lidar apropriadamente com consultas DNS por subdomínios inexistentes quando registros de recursos OPT muito grandes são anexados à consulta. Quando uma resposta de domínio inexistente (NXDOMAIN) é construída por um servidor de nomes vítima, uma verificação no código pode falhar se o cliente enviar um buffer UDP de tamanho grande. A falha desta verificação causará o encerramento da execução do named.

As seguintes versões do BIND são afetadas:

• BIND versões 8.3.0 até 8.3.3

VU#581682 - O ISC BIND 8 não referencia corretamente elementos de SIG RR com tempos de expiração inválidos do banco de dados interno

A descrição do ISC para esta vulnerabilidade é a seguinte:

É possível referenciar um ponteiro NULL (nulo) para certos valores de expiração de uma assinatura.

As seguintes versões do BIND são afetadas:

• BIND versões 8.2 até 8.2.6
• BIND versões 8.3.0 até 8.3.3

Vulnerabilidades no Resolver DNS do BIND

VU#844360 - As bibliotecas "stub" do resolver DNS (Domain Name System) são vulneráveis a "buffer overflows" através de consultas de nomes ou endereço via rede

Um atacante pode executar código arbitrário com os privilégios da aplicação que fez a requisição ou então causar uma negação de serviço. O invasor precisaria controlar o conteúdo de respostas DNS, possivelmente forjando respostas (DNS spoofing) ou ganhando o controle de um servidor DNS.

Estas vulnerabilidades são distintas dos problemas discutidos no CA-2002-19. As seguintes bibliotecas "stub" do resolver DNS são sabidamente afetadas:

• BIND 4.9.2 até 4.9.10

A situação das outras bibliotecas do resolver derivadas do BIND 4, como a libc BSD, a glibc GNU e aquelas utilizadas pelos sistemas UNIX System V é até o momento desconhecida. Além disso, estes problemas estão mapeados no CVE da seguinte maneira:

VU#852283 - CAN-2002-1219
VU#229595 - CAN-2002-1220
VU#581682 - CAN-2002-1221
VU#844360 - CAN-2002-0029

II. Impacto

VU#852283 - "Buffer overflow" em registros SIG malformados armazenados em cache

Um atacante remoto pode executar código arbitrário no servidor de nomes com os privilégios do uid do named (geralmente o root).

VU#229595 - Verificação de registro OPT muito grande

Um atacante remoto pode interferir na operação normal de seu servidor de nomes, possivelmente causando uma pane (crash).

VU#581682 - O ISC BIND 8 não referencia corretamente elementos de SIG RR com tempos de expiração inválidos do banco de dados interno

Um atacante remoto pode interferir na operação normal de seu servidor de nomes, possivelmente causando uma pane (crash).

VU#844360 - As bibliotecas "stub" do resolver DNS (Domain Name System) são vulneráveis a "buffer overflows" através de consultas de nomes ou endereço via rede

Um atacante remoto pode executar código arbitrário com os privilégios da aplicação que realizou a requisição ou causar negação de serviço. O invasor precisaria controlar o conteúdo de respostas DNS, possivelmente forjando respostas (DNS spoofing) ou ganhando o controle de um servidor DNS.

III. Solução

Aplicar uma correção de seu fornecedor

O apêndice A contém informações providas pelos próprios fornecedores para inclusão neste documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários. Por favor, contate diretamente o seu fornecedor

Se uma correção do seu fornecedor não estiver disponível, você pode considerar a possibilidade de aplicar as correções produzidas pelo ISC:

BIND 8.3.3 - http://www.isc.org/products/BIND/patches/bind833.diff

BIND 8.2.6 - http://www.isc.org/products/BIND/patches/bind826.diff

BIND 4.9.10 - http://www.isc.org/products/BIND/patches/bind4910.diff

Para a VU#844360, "buffer overflow" na libresolv do BIND 4, será necessária uma atualização das bibliotecas de resolver DNS para uma versão corrigida.

Observe que as bibliotecas do resolver DNS podem ser utilizadas por diversas aplicações na maioria dos sistemas. Pode ser necessário fazer a atualização ou aplicar várias correções e então recompilar as aplicações ligadas estaticamente.

Aplicações que são ligadas estaticamente deverão ser recompiladas usando as bibliotecas do resolver corrigidas. Aplicações que são ligadas dinamicamente não necessitarão ser recompiladas; entretanto, serviços em execução necessitarão ser reinicializados para utilizarem as bibliotecas corrigidas do resolver.

Administradores de sistemas poderão considerar os seguintes procedimentos quando tratarem deste assunto:

1. Corrigir ou obter bibliotecas do resolver atualizadas.
2. Reiniciar todos os serviços ligados dinamicamente que utilizem as bibliotecas do resolver.
3. Recompilar todos as aplicações ligadas estaticamente utilizando as bibliotecas do resolver corrigidas ou atualizadas.

Soluções temporárias

VU#852283 - "Buffer overflow" em registros SIG malformados armazenados em cache

VU#229595 - Verificação de registro OPT muito grande

VU#581682 - O ISC BIND 8 não referencia corretamente elementos de SIG RR com tempos de expiração inválidos do banco de dados interno

Uma possível solução temporária para limitar a exposição às vulnerabilidades no named é desabilitar a recursão em qualquer servidor de nomes que responda a requisições DNS feitas por sistemas não confiáveis. Conforme mencionado no documento "Securing an Internet Name Server":

Desabilitar a recursão coloca seus servidores de nomes em um modo passivo, dizendo a eles para nunca enviar consultas em nome de outros servidores de nomes ou resolvers. Um servidor de nomes totalmente não recursivo estará protegido de "cache poisoning", uma vez que ele somente responderá às consultas dirigidas a ele. Ele não enviará consultas e, portanto, não armazenará nenhum dado em cache. Desabilitar a recursão pode também evitar que atacantes redirecionem ataques de negação de serviço a partir de seu servidor de nomes fazendo consultas por zonas externas.

Servidores de nomes não recursivos devem ser muito mais resistentes à exploração das vulnerabilidades no servidor listadas acima.

Contramedidas adicionais

O ISC recomenda a atualização do BIND para a versão 9.2.1. A versão 9.2.1 do BIND está disponível em: http://www.isc.org/products/BIND/bind9.html.

Observe que a atualização de versões anteriores do BIND pode requerer ajustes na configuração do seu site.

Apêndice A. - Informações dos Fornecedores

Este apêndice contém informações providas pelos próprios fornecedores para inclusão neste documento. À medida que os fornecedores enviarem novas informações ao CERT/CC, este documento será atualizado e as modificações serão registradas no histórico de revisões. Se algum fornecedor em particular não estiver listado abaixo é porque não recebemos seus comentários.

Conectiva

O Linux Conectiva 6.0 é afetado por este problema. Pacotes atualizados estão disponíveis em nosso servidor de ftp:
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-chroot-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-devel-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-devel-static-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-doc-8.2.6-1U60_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/bind-utils-8.2.6-1U60_2cl.i386.rpm

Um advisory sobre esta vulnerabilidade está pendente e deverá ser enviado para nossa lista de discussão de segurança e publicado em nosso web site durante este dia. (14 de novembro)

FreeBSD

Por favor, veja FreeBSD-SA-02:43.bind.

Hewlett-Packard Company

FONTE: Hewlett-Packard Company Software Security Response team x-ref: SSRT2408

Até o momento da escrita deste documento, a Hewlett Packard estava investigando o possível impacto nos produtos de software de Sistema Operacional distribuídos pela HP. À medida em que novas informações tornem-se disponíveis a HP proverá avisos da disponibilidade de quaisquer correções necessárias através de notificações padrões de boletins de segurança, e elas estarão disponíveis através do seu canal normal de suporte "HP Services".

MontaVista Software

A MontaVista distribui o BIND 9, portanto não é vulnerável a estes problemas.

Nominum, Inc.

O Nominum "Foundation" Authoritative Name Server (AND) não é afetado por esta vulnerabilidade. O Nominum "Foundation" Caching Name Server (CNS) também não é afetado por esta vulnerabilidade. Os produtos de servidores DNS da Nominum, que são parte da Nominum "Foundation" IP Address Suite, não são baseados no BIND e não contêm qualquer código do BIND e, portanto, não são afetados pelas vulnerabilidades descobertas em qualquer uma das versões do BIND.

Openwall Project

O BIND 4.9.10-OW2 inclui a correção fornecida pelo ISC e, portanto, corrigiu as duas vulnerabilidades que afetam o BIND4. As versões anteriores das correções do BIND 4.9.x-OW, se usadas apropriadamente, reduzem significativamente o impacto das vulnerabilidades do "named". As correções estão disponíveis em seu local habitual:

http://www.openwall.com/bind/

Uma correção para o BIND 4.9.11 surgirá tão logo esta versão seja oficialmente lançada, contudo, ela provavelmente será idêntica à 4.9.10-OW2 disponível atualmente. Não foi totalmente pesquisado se o código do resolver na glibc, e particularmente no Openwall GNU/*/Linux, compartilha qualquer uma das vulnerabilidades recentemente descobertas da biblioteca resolver do BIND4. Esta análise está em andamento.

Red Hat Inc.

Versões antigas (6.2, 7.0) do Red Hat Linux foram distribuídas com versões do BIND que podem estar vulneráveis a estes problemas. Entretanto, um advisory de segurança da Red Hat datado de julho de 2002 atualizou todas as nossas distribuições suportadas para o BIND 9.2.1, o qual não é vulnerável a estes problemas.

Todos os usuários que tiverem o BIND instalado deverão assegurar-se que estão executando as versões atualizadas do BIND.

http://rhn.redhat.com/errata/RHSA-2002-133.html Red Hat Linux
http://rhn.redhat.com/errata/RHSA-2002-119.html Advanced Server 2.1

Apêndice B. - Referências

1. "Securing an Internet Name Server" - http://www.cert.org/archive/pdf/dns.pdf
2. "Internet Security Systems Security Advisory - Multiple Remote Vulnerabilities in BIND4 and BIND8" - http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
3. "BIND Vulnerabilities" - http://www.isc.org/products/BIND/bind-security.html
4. "RFC2671 - Extension Mechanisms for DNS (EDNS0)" - ftp://ftp.isi.edu/in-notes/rfc2671.txt

A Internet Security Systems reportou publicamente os seguintes problemas: VU#852283, VU#229595 e VU#581682.

Nós agradecemos o ISC por sua cooperação.

Autor: Ian A. Finlay

Informações de Contato do CERT/CC

Email: cert@cert.org

Telefone: +1 412-268-7090 (Hotline 24 horas)

Fax: +1 412-268-6989

Endereço para correspondência:

CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.

O pessoal do CERT/CC atende ao hotline no período das 8:00 às 17:00h EST(GMT-5), de segunda a sexta-feira; nos demais períodos eles atendem em esquema emergencial, incluindo finais de semana e feriados dos Estados Unidos.

Utilização de criptografia

Nós recomendamos fortemente que informações sensíveis sejam criptogradas ao serem enviadas por email. Nossa chave pública PGP está disponível em:

• http://www.cert.org/CERT_PGP.key

Se você preferir utilizar DES, por favor telefone para o hotline do CERT para obter maiores informações.

Obtendo informações sobre segurança

As publicações do CERT e outras informações sobre segurança estão disponíveis em nosso site:

• http://www.cert.org/

Para inscrever-se na lista de advisories e boletins do CERT, envie um email para majordomo@cert.org, incluindo o seguinte no corpo da sua mensagem:

subscribe cert-advisory

* "CERT" and "CERT Coordination Center" are registered in the U.S. Patent and Trademark Office.

Translations of CERT/CC Advisories, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute.

Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.

NBSO shall ensure that all translated materials incorporate the CERT/CC logos, service marks, and/or trademarks, as well as a link to the original English version on the CERT web site (www.cert.org).

NBSO shall ensure that all translated materials are translated in their entirety and that the SEI will be notified of which CERT/CC Advisories are being translated. Notifications go to cert@cert.org.

NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU in tellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.

Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.

No Endorsement. The SEI and CMU do not directly or indirectly endorse NBSO work.

Translations of CMU/SEI copyrighted material are not official SEI-authorized translations. NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.

This permission is granted on a non-exclusive basis for non-commercial purposes.

Conditions for use, disclaimers, and sponsorship information

Copyright 2002 Carnegie Mellon University.

Histórico de Revisões
14 de novembro de 2002: Lançamento da versão inicial