Boletin Seguridad 2000-0011

Seguridad en Computo - Mexico dsc en seguridad.unam.mx
Mie Nov 15 12:06:54 CST 2000


. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
 
                  Departamento de Seguridad en C'omputo
 
                           DGSCA- UNAM
 
                   Boletin de Seguridad DSC 2000-0011

       Vulnerabilidad en ISC-BIND del tipo Negacion de Servicio 
 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


En los ultimos d'ias se han recibido reportes que indican la prescencia de
ataques del tipo negaci'on de servicio en dos programas contenidos dentro
del software BIND que distribuye y mantiene la casa Internet Software
Consortium(ISC).

Esta Vulnerabilidad ha sido descubierta y trabajada por el Grupo de
respuesta a incidentes CERT(Computer Emergency Response Team), el cual
detecto este comportamiento en diversos sistemas que contienen el software
ISC-BIND y que su boletin en formato original puede consultarse en:

	     http://www.cert.org/advisories/CA-2000-20.html

La primera Vulnerabilidad se refiere como "zxfr bug" y afecta a las
versiones ISC BIND version 8.2.2 en sus versiones actualizadas(patch 1 a
la 6). La segunda vunerabilidad llamada "srv bug", afecta a las versiones
8.2 hasta la 8.2.2-P6.


DESCRIPCION
-----------

El cosorcio ISC(Internet Software Consortium), casa que se encarga de
mantener y actualizar el software BIND, recientemente recibio informacion
acerca de diversas vulnerabilidades del tipo negacion de servicio que
afectan al programa BIND. Si estas vulnerabilidades son explotadas por los
intrusos les pueden permitir de forma remota el poder detener los
servicios del Servicio de Servidor de Nombres(DNS).

Para mas informaci'on y detalles acerca de estas vulnerabilidades en BIND
le recomendamos consultar :

http://www.isc.org/products/BIND/bind-security.html 

Dichas vulnerabilidades has sido catalogadas por el ISC y el CERT/CC como
vulnerabilidades serias que pueden afectar el funcionamiento propio y
adecuado de las redes dentro del internet.

1. Vulnerabilidad "zxfr bug"

Usando esta vulnerabilidad, los intrusos qeu son permitidos usar las
peticiones de transferencia de zona pueden forzar una caida al demonio
'named' que se encuentra en ejecuci'on en los servidores DNS, perdiendo y
negando el servicio de resoluci'on de nombres hasta que el demonio es
reiniciado. Las unicas condiciones que hay que considerar para que dicho
ataque sea exitoso  es que las peticiones a las zonas de trasnferencia
comprimidas(ZXFR) sean realizadas desde un sitio v'alido  para poder
llevar a cabo cualquier petici'on a la zona de transferencia(No solo
ZXFR), y que  una busqueda subsecuente del servicio de nombres  de
registros del tipo authoritative y non-cached sean realizados. El tiempo
entre el ataque y la caida del servicio de nombres puede variar
dependiendo del sistema.

Esta vulnerabilidad ya ha sido discutida en diversos foros. El ISC ha
confirmado que todas las plataformas que ejecutan la version 8.2.2 de le
software BIND con una version anterior a la version 8.2.2P7 son
vulnerables a dicho ataque.

2. Vulnerabiidad  "srv bug"

Esta vulnerabilidad puede causar que los servidores de resolucion de
nombres o servidores DNS puedan caer en un ciclo infinito, debido a
peticiones posteriores dirigidas. Esto puede ocurrir si un registro del
tipo SRV(descrito en el RFC2782) es enviado al servidor vulnerable.

Dentro del Directorio Microsoft's Windows 2000 Active este servicio se
hace extensivo al uso de los registro SRV y es segun se informa capaz de
accionar este fallo de funcionamiento en el curso de operaciones
normales. Esto no es sinembargo una vulnerabilidad en el directorio
Microsoft. Cualquier cliente conectado en la red capaz de enviar registros
del tipo SRV al servidor de nombres vulnerable puede llevar a cabo los
pasos anteriormente descritos.

A la fecha el CERT/CC y el DSC de la UNAM no ha recibido reportes directos
de alguna de estas vunerabilidades que hayan sido explotadas a la fecha.

Ambas vunerabilidades pueden ser usadas por intrusos maliciosos para
irrumpir los servicios DNS ofrecidos por el servidor y exponiendo a todos
los servidores del tipo DNS en el inetrnet. Se recomienda ampliamente a
los Administradores de sistemas actualizar a la brevedad a la ultima
version del software BIND en cualquiera de sus distribuciones sea ISC o
cualquier vendedor.  Recomendamos consultar el apendice de informacion de
vendedores descrito en la parte inferior de este docuemnto.

 , , , , , , ,
 * IMPACTO   *
 , , , , , , ,


Con esta vulnerabilidad en el ISC-BIND los servicios de resolucion de
nombres (DNS) pueden ser deshabilitados en los servidores afectados
desde servidores remotos, provocando que el servicio no se realice y no
funcione de forma apropiada.


 , , , , , , ,
 * INFORMACION *
 , , , , , , ,


1. Aplicar un parche de actualizaci'on.

El DSC de la UNAM recomienda a todos los usuarios y administradores de
sistemas que usen servidores de nombres con software ISC BIND, que se
actualice a la brevedad dicho software. La ultima version actualizada de
BIND es 8.2.2-P7, la cual corrige dichas fallas y nos previene de el tipo
de ataques DoS(Negacion de servicio)

Para todos aquellos que usen un servidor de nombres de algun fabricante  o
vendedor distinto al descrito, le recomendamos verificar con su
distribuidor acerca de nuevas versiones que corrijan dicha vulnerabilidad.


2. Reestringir las Zonas de transferencias a servidores confiables.
 
Si no es posible actualizar de forma inmediata los sistemas afectados por
la vulnerabilidad "zxfr", el ISC sugiere no permitir la zona de
transferencia a los servidores no confiables. Sin embargo llevar a cabo
este paso no disminuye los efectos de un ataque a la vulnerabiidad "srv"


-----------------------------------------------
 APENDICE A : Informacion adicional
-----------------------------------------------

A continuaci'on listamos los principales sistemas operativos en los cuales
se ha analizado si presentan fallas en la vulnerabilidad descrita
anteriormente.

* The Internet Software Consortium

Para la ultima informaci'on acerca de estas vulnerabilidades descritas, le
sugerimos consultar el sitio web del ISC en:

		http://www.isc.org/products/BIND/bind-security.html 

* Caldera

Vulnerable y el boletin disponible en:

http://www.calderasystems.com/support/security/advisories/CSSA-2000-040.0.txt

Actualizacion de paquetes disponibles en:

OpenLinux Desktop 2.3
ftp://ftp.calderasystems.com/pub/updates/OpenLinux/2.3/current 
9d8429f25c5fb3bebe2d66b1f9321e61 RPMS/bind-8.2.2p7-1.i386.rpm
0e958eb01f40826f000d779dbe6b8cb3 RPMS/bind-doc-8.2.2p7-1.i386.rpm
866ff74c77e9c04a6abcddcc11dbe17b RPMS/bind-utils-8.2.2p7-1.i386.rpm
6a545924805effbef01de74e34ba005e SRPMS/bind-8.2.2p7-1.src.rpm

OpenLinux eServer 2.3
ftp://ftp.calderasystems.com/pub/updates/eServer/2.3/current 
379c4328604b4491a8f3d0de44e42347 RPMS/bind-8.2.2p7-1.i386.rpm
b428b824c8b67f2d8d4bf53738a3e7e0 RPMS/bind-doc-8.2.2p7-1.i386.rpm
28311d630281976a870d38abe91f07fb RPMS/bind-utils-8.2.2p7-1.i386.rpm
6a545924805effbef01de74e34ba005e SRPMS/bind-8.2.2p7-1.src.rpm

OpenLinux eDesktop 2.4
ftp://ftp.calderasystems.com/pub/updates/eDesktop/2.4/current 
c37b6673cc9539e592013ac114846940 RPMS/bind-8.2.2p7-1.i386.rpm
bbe0d7e317fde0d47cba1384f6d4b635 RPMS/bind-doc-8.2.2p7-1.i386.rpm
5c28dd5641a4550c03e9859d945a806e RPMS/bind-utils-8.2.2p7-1.i386.rpm
6a545924805effbef01de74e34ba005e SRPMS/bind-8.2.2p7-1.src.rpm


* Compaq Computer Corporation

FUENTE : Compaq Computer Corporation Compaq Services
Software Security Response Team USA

El sistema Operativo Compaq Tru64/UNIX no es vulnerable a estos
problemas reportados.


* Conectiva

Consultar los boletines de Conectiva Linux Security CLSA-2000:339 en:

http://listserv.securityportal.com/SCRIPTS/WA-SECURITYPORTAL.EXE?A1=ind0011&L=linux-security#27 

* Debian

Consultar Debian Security notice 20001112, bind en :

		http://www.debian.org/security/2000/20001112 

* FreeBSD

Todas las versiones de FreeBSD despues de la version 4.0-RELEASE no son
vulnerables a este programa, debido a que incluyen la version 8.2.3. Las
versiones anteriores a FreeBSD 4.0-RELEASE son vulnerables a los problemas
reportados debido a que incluyen versiones anteriores de BIND.

* Hewlett-Packard

HP es vulnerble a los problemas descritos con anterioridad y actualmente
trabajan en las actualizaciones parta su correccion.


* Immunix

Las versiones de Immunix Linux 6.2 y 7.0 beta son vulnerables y se ha
pubicado un boletin al respecto que se puede consultar en:

	http://www.immunix.org/ImmunixOS/7.0-beta/updates/IMNX-2000-70-005-01 for

* MandrakeSoft

Consultar "MDKSA-2000:067: bind" en: 

http://www.linux-mandrake.com/en/security/MDKSA-2000-067.php3

* Microsoft Corporation

Los sistemas Windows 2000 y Windows NT 4.0 no son vulnerables a estos
problemas.


* NetBSD

NetBSD es vunerabe a estos problemas y la ultima version de dicho
sistema  ha sido actualizada para usar la version BIND 8.2.2-P7 y estara 
presenta en la nueva version del sistema NetBSD 1.5 release


* RedHat

Consultar el boletin "RHSA-2000:107-01: Updated bind packages fixing DoS
attack", disponible en:

	http://www.redhat.com/support/errata/RHSA-2000-107.html

* Slackware

Si es vulnerable y se recomienda que para actualizar los paquetes de dicha
distribucion consultar :

ftp://ftp.slackware.com/pub/slackware/slackware-current/slakware/n1/bind.tgz 


 , , , , , , ,
 * INFORMACION *
 , , , , , , ,

 El DSC agradece al CERT/CC de los EU por la investigaci'on y publicaci'on
del boletin.
 
 Para Mayor Informaci'on o Detalles de este bolet'in contactar a:

                 Departamento Seguridad en C'omputo
                 DGSCA- UNAM
                 Tel : 56 22 81 69
                 Fax : 56 22 80 43
                 E-Mail : seguridad en seguridad.unam.mx
                 http://www.seguridad.unam.mx
                 ftp://ftp.seguridad.unam.mx


---
Juan Carlos Guel Lopez
Departamento Seguridad en C'omputo   E-mail: dsc en seguridad.unam.mx
DGSCA, UNAM                          Tel.: 5622-81-69  Fax: 5622-80-43
Circuito Exterior, C. U.             WWW: http://www.seguridad.unam.mx/
04510 Mexico D. F.                   PGP: finger dsc en ds5000.super.unam.mx 





---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux.org.mx



Más información sobre la lista de distribución Ayuda