FreeBSD Advisory: bind8 negative cache poison attack

asg

push it, don´t hype
Security Advisory

Was
BIND 8


Betrofffen
(1)
FreeBSD bis 4.9-RELEASE und 5.1-RELEASE
(2)
4-STABLE vor dem Datum der Korrektur:
2003-11-28 22:13:47 UTC (RELENG_4, 4.9-STABLE)
2003-11-27 00:54:53 UTC (RELENG_5_1, 5.1-RELEASE-p11)
2003-11-27 16:54:01 UTC (RELENG_5_0, 5.0-RELEASE-p19)
2003-11-27 00:56:06 UTC (RELENG_4_9, 4.9-RELEASE-p1)
2003-11-27 16:34:22 UTC (RELENG_4_8, 4.8-RELEASE-p14)
2003-11-27 16:35:06 UTC (RELENG_4_7, 4.7-RELEASE-p24)
2003-11-27 16:37:00 UTC (RELENG_4_6, 4.6.2-RELEASE-p27)
2003-11-27 16:38:36 UTC (RELENG_4_5, 4.5-RELEASE-p37)
2003-11-27 16:40:03 UTC (RELENG_4_4, 4.4-RELEASE-p47)


Nur Freebsd?
Nein


Erklärung
BIND 8 ist eine Implementation des Domain Name System (DNS) Protokolls.
Durch einen Programmierfehler in BIND 8 named kann es passieren das eine DNS Nachricht inkorrekt als negative respone ge-cached wird.
Dadurch kann es zu einem denial-of-service Attacke für Applikationen kommen die DNS brauchen, wie beispielsweise Web, email, und and chat Netzwerke.


Workaround
Keiner bekannt


Problemlösung
(1)
Upgrade des Systems auf 4.9-STABLE oder RELENG_5_1
RELENG_4_9, RELENG_4_8, or RELENG_4_7 security branch nach dem Korrekturdatum

(2)
Patch einspielen

Download des Patches von:
[FreeBSD 4.9 and -STABLE systems]
# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-836.patch
# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-836.patch.asc

[FreeBSD 4.8 and 5.1 systems]
# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-834.patch
# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-834.patch.asc

[FreeBSD 4.4, 4.5, 4.6, 4.7, and 5.0 systems]
# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-833.patch
# fetch ftp://ftp.freebsd.org/pub/FreeBSD/CERT/patches/SA-03:19/bind-833.patch.asc

Um den Patch zu installieren wie folgt verfahren (als root)
:
# cd /usr/src
# patch < /path/to/patch
# cd /usr/src/lib/libbind
# make obj && make depend && make
# cd /usr/src/lib/libisc
# make obj && make depend && make
# cd /usr/src/usr.sbin/named
# make obj && make depend && make && make install
# cd /usr/src/libexec/named-xfer
# make obj && make depend && make && make install

Nachdem der Patch eingespielt wurde muss named neu gestartet werden (als root):

# ndc restart


Details zur Korrektur
Die folgende Liste enthält die Revisionsnummer jeder Datei die unter FreeBSD korrigiert wurde:

Branch Revision
Path
----------------------------------------------------------------------
RELENG_4
src/contrib/bind/CHANGES 1.1.1.7.2.11
src/contrib/bind/README 1.1.1.7.2.9
src/contrib/bind/Version 1.1.1.3.2.10
src/contrib/bind/bin/named-xfer/named-xfer.c 1.3.2.8
src/contrib/bind/bin/named/Makefile 1.3.2.6
src/contrib/bind/bin/named/ns_init.c 1.1.1.2.2.6
src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.11
src/contrib/bind/bin/nslookup/commands.l 1.4.2.5
src/contrib/bind/bin/nslookup/debug.c 1.3.2.6
src/contrib/bind/bin/nslookup/getinfo.c 1.3.2.9
src/contrib/bind/bin/nslookup/main.c 1.3.2.7
src/contrib/bind/doc/man/dig.1 1.3.2.4
src/contrib/bind/doc/man/host.1 1.3.2.5
src/contrib/bind/doc/man/nslookup.8 1.2.2.5
src/contrib/bind/port/freebsd/include/port_after.h 1.6.2.9
src/contrib/bind/port/freebsd/include/port_before.h 1.1.1.2.2.6
RELENG_5_1
src/UPDATING 1.251.2.13
src/sys/conf/newvers.sh 1.50.2.13
src/contrib/bind/Version 1.1.1.11.2.1
src/contrib/bind/bin/named/ns_resp.c 1.1.1.11.2.1
RELENG_5_0
src/UPDATING 1.229.2.25
src/sys/conf/newvers.sh 1.48.2.20
src/contrib/bind/Version 1.1.1.10.2.1
src/contrib/bind/bin/named/ns_resp.c 1.1.1.10.2.1
RELENG_4_9
src/UPDATING 1.73.2.89.2.2
src/sys/conf/newvers.sh 1.44.2.32.2.2
src/contrib/bind/Version 1.1.1.3.2.9.2.1
src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.10.2.1
RELENG_4_8
src/UPDATING 1.73.2.80.2.16
src/sys/conf/newvers.sh 1.44.2.29.2.15
src/contrib/bind/Version 1.1.1.3.2.8.2.1
src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.9.2.1
RELENG_4_7
src/UPDATING 1.73.2.74.2.27
src/sys/conf/newvers.sh 1.44.2.26.2.26
src/contrib/bind/Version 1.1.1.3.2.7.2.1
src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.7.2.2
RELENG_4_6
src/UPDATING 1.73.2.68.2.56
src/sys/conf/newvers.sh 1.44.2.23.2.44
src/contrib/bind/Version 1.1.1.3.2.6.2.2
src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.6.2.3
RELENG_4_5
src/UPDATING 1.73.2.50.2.54
src/sys/conf/newvers.sh 1.44.2.20.2.38
src/contrib/bind/Version 1.1.1.3.2.4.4.2
src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.4.4.3
RELENG_4_4
src/UPDATING 1.73.2.43.2.55
src/sys/conf/newvers.sh 1.44.2.17.2.46
src/contrib/bind/Version 1.1.1.3.2.4.2.2
src/contrib/bind/bin/named/ns_resp.c 1.1.1.2.2.4.2.3


Mehr Informationen
http://www.freebsd.org/security/
http://www.kb.cert.org/vuls/id/734644
 
wieso steht das nicht bei den Security Advisories auf freebsd.org?
ich mein, klar, es ist kein fehler des betriebsystems selbst, aber openssh usw. wird ja dort auch gelistet
 
Wundert mich auch...
Und ich verstehe es auch nicht wirklich, zumal die patches ja auf dem FTP liegen.
 
ich schau eh jeden tag auf bsdforen.de vorbei :>

da verlass ich mich lieber auf grunix's großartige arbeit ... großes lob in diesem sinne!
 
Back
Top