1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
|
#use wml::debian::translation-check translation="e12c94c1bd26a24ae67d1359239e6c2d7a6c8f75"
<define-tag description>useita haavoittuvuuksia</define-tag>
<define-tag moreinfo>
<p>[Bind versio 9, bind9-paketti, ei ole altis näille ongelmille.]</p>
<p>ISS X-Force on löytänyt useita vakavia haavoittuvuuksia BIND:ista
(Berkeley Internet Name Domain Server). BIND on yleisin toteutus DNS
(Domain Name Service)-protokollasta, jota käytetään valtaosassa
Internetin DNS-palvelimia. DNS on elintärkeä Internet-protokolla joka
ylläpitää tietokantaa helposti muistettavista domain-nimistä (host names)
ja niitä vastaavista numeerisista IP-osoitteista.</p>
<p>Aihetodistukset esittävät että Internet Software Consortium (ISC),
BIND:in ylläpitäjä, oli tietoinen näistä seikoista lokakuun puolenvälin
tienoilla. Open Source-käyttöjärjestelmien jakelijoille, mukaan lukien
Debian, ilmoitettiin näistä haavoittuvuuksista CERT:in kautta noin 12
tuntia ennen marraskuun 12:nnen ilmoitusta. Tämä ilmoitus ei sisältänyt
ainoatakaan yksityiskohtaista tietoa jotta olisimme voineet paikallistaa
haavoittuvan kohdan koodista, puhumattakaan korjauksien valmistelusta
ajallaan.</p>
<p>Valitettavasti ISS ja ISC julkaisivat tietoturvatiedotteissaan vain
kuvaukset haavoittuvuuksista, ilman korjauksia. Vaikkakaan ei ollut merkkejä
siitä että nämä aukot olisivat kräkkeriyhteisön tiedossa, ja että aktiivisista
hyökkäyksistä ei ollut ilmoituksia, tällaisia hyökkäyksiä olisi voitu
kehitellä tuona aikana - eikä korjauksia olisi ollut saatavilla.</p>
<p>Voimme kaikki ilmaista paheksuntamme ironisesti nimetyn Internet Software
Consortiumin kyvyttömyydestä työskennellä Internet-yhteisön kanssa tämän
ongelman käsittelyssä. Toivottavasti tästä ei tule tulevaisuuden mallia
tietoturvaongelmien käsittelyyn.</p>
<p>The Common Vulnerabilities and Exposures (CVE)-projekti tunnisti
seuraavat haavoittuvuudet:</p>
<ol>
<li>CAN-2002-1219: Puskurin ylivuoto BIND 8:n versioissa 8.3.3, ja aiemmat,
antaa etähyökkääjälle mahdollisuuden ajaa mielivaltaista koodia tietyn
DNS-palvelimen SIG resource records (RR)-elementin sisältävän vastauksen
kautta. Tätä puskurin ylivuotoa hyödyntämällä on mahdollista päästä
hyökkäyksen kohteena olevalle palvelimelle named-prosessin käyttäjäoikeuksilla,
tavallisesti root-oikeuksilla.</li>
<li>CAN-2002-1220: BIND 8:n versiot 8.3.x - 8.3.3 mahdollistavat etähyökkääjän
aiheuttaa palveluneston (termination due to assertion failure) lähettämällä
pyynnön olemattomasta alidomainista OPT resource record-elementillä, jonka
UDP-hyötykuorman koko on suuri.</li>
<li>CAN-2002-1221: BIND 8:n versiot 8.x - 8.3.3 mahdollistavat etähyökkääjän
aiheuttaa palveluneston (palvelimen kaatuminen) virheellisillä
voimassaoloajoilla varustetuilla SIG RR-elementeillä. Virheelliset elementit
poistetaan sisäisestä BIND-tietokannasta, joka myöhemmin johtaa tyhjään
viittaukseen.</li>
</ol>
<p>Nämä ongelmat on korjattu nykyisen vakaan jakelun (woody) versiossa
8.3.3-2.0woody1, aiemman vakaan jakelun (potato) versiossa 8.2.3-0.potato.3
ja epävakaan jakelun (sid) versiossa 8.3.3-3. Epävakaan jakelun korjatut
paketit tulevat arkistoon tänään.</p>
<p>Suosittelemme päivittämään bind-paketin välittömästi, päivitä bind9:ään,
tai vaihda johonkin muuhun DNS-palvelintoteutukseen.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"
|
