1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
|
#use wml::debian::translation-check translation="e12c94c1bd26a24ae67d1359239e6c2d7a6c8f75" maintainer="Giuseppe Sacco"
<define-tag description>varie vulnerabilità</define-tag>
<define-tag moreinfo>
<p>[Bind versione 9, il pacchetto bind9, non è affetto da questi problemi.]</p>
<p>ISS X-Force ha scoperto alcune vulnerabilità serie nel Berkeley
Internet Name Domain Server (BIND). BIND è l'implementazione più diffusa
del protocollo DNS (Domain Name Service), che è utilizzato dalla maggior parte
dei server DNS di Internet. DNS è un protocollo vitale per Internet
che mantiene una base dati dei nomi di dominio facili da ricordare (host name)
e i loro corrispettivi indirizzi IP.</p>
<p>Prove circostanziali fanno capire che il Internet Software Consortium (ISC),
manutentore di BIND, è stato reso a conoscenza di questi problemi a metà
ottobre. I distributori di sistemi operativi Open Source, incluso Debian,
ne hanno ricevuto notifica via CERT circa 12 ore prima dell'annuncio ufficiale
del 12 novembre. Questa notifica non includeva alcun dettaglio che ci
permettesse di identificare il codice vulnerabile, figuriamoci l'avere il tempo
per risolvere il problema.</p>
<p>Sfortunatamente ISS e ISC hanno rilasciato i loro annunci con la sola
descrizione della vulnerabilità, senza alcuna patch. Anche se non c'erano
segnali che questi problemi fossero conosciuti alla comunità 'black-hat' e anche
se non c'erano report di attacchi attivi, questi attacchi avrebbero potuto
essere sviluppati nel frattempo - senza alcuna soluzione disponibile.</p>
<p>Esprimiamo il nostro dispiacere sulla impossibilità dell'ironicamente
chiamato Internet Software Consortium di lavorare con la comunità Internet nel
gestire questi problemi. Speriamo che questo non diventi un modello di gestione
dei problemi legati alla sicurezza in futuro.</p>
<p>Il progetto Common Vulnerabilities and Exposures (CVE) ha identificato
le seguenti vulnerabilità:</p>
<ol>
<li>CAN-2002-1219: Un overflow di bufer in BIND 8 versione 8.3.3 e precedenti
permette ad un attaccante remoto di eseguire del codice qualsiasi tramite
una certa risposta DNS contenga un record per la risorsa SIG (RR). Questo
overflow puà essere sfruttato per ottenere accesso all'host vittima con
l'account utilizzato da named, normalmente root.</li>
<li>CAN-2002-1220: BIND 8 dalla versione 8.3.x alla 8.3.3 permette ad un
attaccante remoto di causare un 'denial of service' (terminazione dovuta
al fallimento di una assert()) tramite una richiesta per un sotto dominio
inesistente con un record per la risorsa OPT con una grande 'payload'
UDP.</li>
<li>CAN-2002-1221: BIND 8 dalla versione 8.x alla 8.3.3 permette ad un
attaccante remoto di causare un 'denial of service' (crash) via elementi
SIG RR con una data di scadenza non valida, che sono rimossi dal database
interno di BIND e causano successivamente una 'null dereference.</li>
</ol>
<p>Questi problemi sono stati risolti nella versione 8.3.3-2.0woody1 per la
attuale distribuzione stable (woody), nella versione 8.2.3-0.potato.3 per la
precedente distribuzione stable (potato) e nella versione 8.3.3-3 per la
distribuzione unstable (sid). Il pacchetto di unstable entrerà nell'archivio
oggi.</p>
<p>Suggeriamo di aggiornare i pacchetti bind immediatamente, aggiornare a
bind9, o passare ad un'altra implementazione del server DNS.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"
# $Id$
|
