1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
|
#use wml::debian::translation-check translation="e12c94c1bd26a24ae67d1359239e6c2d7a6c8f75" mindelta="1"
<define-tag description>flera sårbarheter</define-tag>
<define-tag moreinfo>
<p>
[Bind version 9, bind9-paketet, påverkas inte av dessa problem.]
</p>
<p>
ISS X-Force upptäckte flera allvarliga sårbarheter i <span lang="en">Berkeley
Internet Name Domain Server</span> (BIND).
BIND är den vanligaste implementationen av DNS-protokollet
(<span lang="en">Domain Name Service</span>) och används av de allra flesta
DNS-servrarna på Internet.
DNS är ett livsviktigt Internetprotokoll som tillhandahåller en databas över
lätt-ihågkomna domännamn (värdnamn) och deras motsvarande numeriska IP-adresser.
</p>
<p>
Indicier tyder på att <span lang="en">Internet Software Consortium</span> (ISC),
vilka underhåller BIND, fick reda på dessa problem i mitten av oktober.
Distributörer av operativsystem med öppen källkod, däribland Debian, fick veta
om dessa sårbarheter via CERT ungefär 12 timmar före bulletinerna släpptes den
12 november.
Detta meddelande innehöll inte några detaljer som gjort det möjligt för oss att
identifiera den sårbara koden, än mindre förbereda rättelser i tid.
</p>
<p>
Tyvärr släppte ISS och ISC säkerhetsbulletiner som enbart innehöll beskrivningar
av sårbarheterna, utan några patchar.
Trots att det inte fanns några tecken på att sätt att utnyttja dessa problem är
kända av de onda krafterna och att det ej heller förekommer några rapporter om
aktiva angrepp, kunde sådana angrepp utvecklats under tiden – utan att
några rättelser är tillgängliga.
</p>
<p>
Det enda vi kan göra är att beklaga att gruppen med det ironiska namnet
<span lang="en">Internet Software Consortium</span>s är oförmögna att samarbeta
med Internetsamfundet om att rätta detta problem.
Förhoppningvis kommer inte detta att bli praxis i arbetet med säkerhetsproblem i
framtiden.
</p>
<p>
Projektet <span lang="en">Common Vulnerabilities and Exposures</span> (CVE)
identifierade följande sårbarheter:
</p>
<ol>
<li>
CAN-2002-1219:
Ett buffertspill i BIND 8 version 8.3.3 och tidigare gör det möjligt för en
angripare utifrån att exekvera godtycklig kod via specifika DNS-servrar som
svarar på SIG-resursposter (RR).
Detta buffertspill kan utnyttjas för att få tillgång till offervärden under
det användar-id named-processen kör med, vanligtvis root.
</li>
<li>
CAN-2002-1220:
BIND 8 i versionerna 8.3.x till 8.3.3 gör det möjligt för en fjärrangripare
att orsaka en överbelastningsattack (avsluta på grund av att en försäkran
misslyckas) via en fråga om en underdomän som inte existerar, med en
OPT-resurspost med en stor UDP-nyttolaststorlek.
</li>
<li>
CAN-2002-1221:
BIND 8 i versionerna 8.x till 8.3.3 gör det möjligt för en fjärrangripare att
orsaka en överbelastningsattack (krasch) via SIG RR-element med ogiltiga
utgångstider, vilka tas bort från den interna BIND-databasen och senare
orsakar en avreferering av NULL.
</li>
</ol>
<p>Dessa problem har rättats i version 8.3.3-2.0woody1 för den nuvarande stabila
utgåvan (Woody), i version 8.2.3-0.potato.3 för den gamla stabila utgåvan
(Potato) samt i version 8.3.3-3 för den instabila utgåvan (Sid). De rättade
paketen kommer komma in i arkivet idag.</p>
<p>Vi rekommenderar att ni uppgraderar ert bind-paket omedelbart, uppgradera
till bind9, eller byta till en annan DNS-serverimplementation.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"
|
