1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
|
#use wml::debian::translation-check translation="e12c94c1bd26a24ae67d1359239e6c2d7a6c8f75"
<define-tag description>várias vulnerabilidades</define-tag>
<define-tag moreinfo>
<p>[O Bind versão 9, pacote bind9, não é afetado por estes problemas.]</p>
<p>O ISS X-Force descobriu várias vulnerabilidades sérias no Berkeley
Internet Name Domain Server (BIND). O BIND é a implementação mais comum
do protocolo DNS (Domain Name Service), que é usado na maioria dos servidores
DNS na Internet. O DNS é um protocolo vital que mantém uma base de dados com
nomes de domínios fáceis de lembrar (nome de hosts) e seus correspondentes
endereços IP.</p>
<p>Uma evidência circunstancial sugere que o Internet Software Consortium
(ISC), mantenedores do BIND, ficaram cientes dessas questões no meio de Outubro.
As distribuições de sistemas operacionais livres, incluindo a Debian, foram
notificadas disso pelo CERT 12 horas antes do lançamento do alerta em 12 Novembro.
Esta notificação não incluía nenhum detalhe que permitiria que identificássemos o
código vulnerável, muito menos tempo hábil para o preparo de correções. </p>
<p>Infelizmente, o ISS e o ISC lançaram seus alertas de segurança somente com
descrições das vulnerabilidades, sem qualquer patch. Mesmo assim, não há nenhum
sinal de que esses exploits seja conhecidos pela comunidade de crackers e
não há informações de ataques ativos, que poderiam ter sido desenvolvidos
nesse meio tempo - sem correções disponíveis.</p>
<p>Todos nós gostaríamos de expressar nosso espanto ao ver a incapacidade
de um projeto, ironicamente chamado de Internet Software Consortium,
em trabalhar com a comunidade da Internet para tratar este problema.
Esperamos que isso não se torne um modelo para tratamento de questões de
segurança no futuro.</p>
<p>O projeto Common Vulnerabilities and Exposures (CVE) identificou as seguintes
vulnerabilidades:</p>
<ol>
<li>CAN-2002-1219: Um buffer overflow no BIND 8 versões 8.3.3 e anteriores
permitem que um atacante remoto execute código arbitrário através de
certas respostas do servidor DNS que contenha entradas SIG (RR). Este
buffer overflow pode ser explorado para obter acesso à máquina vítima
debaixo da conta que roda o processo named, usualmente, a conta root.</li>
<li>CAN-2002-1220: O BIND 8 versões 8.3.x até 8.3.3 permite que um atacante
remoto cause um ataque de negação de serviço (queda devido a uma
falha na asserção) através de uma solicitação de um subdomínio que não
existe, com uma entrada OPT com um grande tamanho de carga de UDP.</li>
<li>CAN-2002-1221: O BIND 8 versões 8.x até 8.3.3 permitem que um atacante remoto
cause um ataque de negação de serviço (queda) através dos elementos SIG RR com
um tempo de expiração inválido, que não foram removidos da base de dados BIND
interna e depois causam uma referência nula.</li>
</ol>
<p>Estes problemas foram corrigidos na versão 8.3.3-2.0woody1 para a atual
distribuição estável (woody), na 8.2.3-0.potato.3 para a antiga distribuição
estável (potato) e na versão 8.3.3-3 para a distribuição instável (sid).
Os pacotes corrigidos para a sid irão entrar no arquivo hoje.</p>
<p>Nós recomendamos que você atualize seu pacote bind imediatamente, atualize
para o bind9 ou utilize outra implementação de servidor DNS.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-196.data"
|
