1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
|
<define-tag description>Mehrere Verwundbarkeiten</define-tag>
<define-tag moreinfo>
<p>[Bind Version 9, das bind9-Paket, ist nicht von diesen Problemen
betroffen.]</p>
<p>ISS X-Force hat mehrere Verwundbarkeiten im Berkeley Internet Name Domain
Server (BIND) gefunden. BIND ist die weit verbreitetste Implementierung des DNS
(Domain Name Service) Protokolls, die auf der überwiegenden Mehrheit der
DNS-Server im Internet verwendet wird. DNS ist ein wesentliches
Internet-Protokoll, das eine Datenbank von leicht zu merkenden Domain-Namen
(Rechnernamen) und deren entsprechenden numerischen IP-Adressen verwaltet.</p>
<p>Begleitende Hinweise legen nahe, dass das Internet Software Consortium
(ISC), Betreuer von BIND, von diesen Problemen Mitte Oktober erfahren hat.
Distributoren von Open Source Betriebssystemen, inklusive Debian, wurden von
diesen Verwundbarkeiten über CERT ungefähr 12 Stunden vor der Veröffentlichung
des Gutachtens am 12. November unterrichtet. Diese Benachrichtigung beinhaltete
keinerlei Details, die es uns erlaubt hätten, den verwundbaren Quellcode zu
entdecken, und noch weniger, um zeitgerechte Reparaturen vorzubereiten.</p>
<p>Unglücklicherweise haben ISS und das ISC ihre Sicherheitsgutachten mit
lediglich der Beschreibung der Verwundbarkeiten veröffentlicht, aber ohne
Patches. Obwohl es keine Anzeichen gab, dass diese Ausnutzbarkeiten der
böswilligen Gemeinschaft bekannt sind und es keine Berichte von aktiven
Angriffen gab, konnten solche Angriffe in der Zwischenzeit entwickelt werden
– ohne dass Reparaturmöglichkeiten verfügbar sind.</p>
<p>Wir alle können nur unser Bedauern über die Unfähigkeit des
ironischerweise so genannten Internet Software Consortiums ausdrücken, mit
der Internet-Gemeinschaft bei der Behandlung dieses Problem umzugehen.
Hoffentlich wird dies in Zukunft nicht ein Modell für den Umgang mit
Sicherheits-Problemen.</p>
<p>Das Common Vulnerabilities and Exposures (CVE) Projekt identifiziert die
folgenden Verwundbarkeiten:</p>
<ol>
<li>CAN-2002-1219: Ein Pufferüberlauf in BIND 8 Versionen 8.3.3 und früher
erlaubt es einem entfernten Angreifer, beliebigen Code über eine bestimmte
DNS-Server-Antwort auszuführen, die einen SIG-Ressource-Eintrag (RR)
enthält. Dieser Pufferüberlauf kann ausgebeutet werden, um Zugriff auf den
Opfer-Rechner mit dem Konto zu erlangen, unter dem der named-Prozess läuft,
üblicherweise root.</li>
<li>CAN-2002-1220: BIND 8 Versionen 8.3.x bis 8.3.3 erlauben einem entfernten
Angreifer eine Diensteverweigerung (<q>Denial of Service</q>)
(Terminierung wegen eines
Assertion-Fehlers) durch einer Anfrage nach einer Subdomain, die nicht
existiert, mit einem OPT-Ressource-Eintrag mit einer großen
UDP-Payload-Größe.</li>
<li>CAN-2002-1221: BIND 8 Versionen 8.x bis 8.3.3 erlauben einem entfernten
Angreifer eine Diensteverweigerung (<q>Denial of Service</q>) (Absturz)
durch SIG-RR Elemente mit
ungültigen Ablauf-Zeiten, die von der internen BIND-Datenbank gelöscht
werden und später eine NULL-Dereferenz verursachen.</li>
</ol>
<p>Diese Probleme wurden in Version 8.3.3-2.0woody1 für die aktuelle stable
Distribution (Woody), in Version 8.2.3-0.potato.3 für die alte stable
Distribution (Potato) und in Version 8.3.3-3 für die unstable Distribution
(Sid) behoben. Die reparierten Pakete für unstable werden heute ins Archiv
einfließen.</p>
<p>Wir empfehlen Ihnen, Ihr bind-Paket unverzüglich zu aktualisieren, auf
bind9 zu erneuern oder auf eine andere DNS-Server Implementierung
umzustellen.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"
#use wml::debian::translation-check translation="e12c94c1bd26a24ae67d1359239e6c2d7a6c8f75"
# $Id$
|
