home *** CD-ROM | disk | FTP | other *** search
/ Hacks & Cracks / Hacks_and_Cracks.iso / hackersclub / km / news / 1997 / august / news1.txt < prev    next >
Encoding:
PGP Message  |  1998-03-25  |  13.3 KB  |  350 lines

  1. -----BEGIN PGP SIGNED MESSAGE-----
  2.  
  3. =============================================================================
  4. CERT* Advisory CA-97.22
  5. Original issue date: August 13, 1997
  6. Last revised: --
  7.  
  8. Topic: BIND - the Berkeley Internet Name Daemon
  9. - -----------------------------------------------------------------------------
  10.  
  11.             *** This advisory supersedes CA-96.02. ***
  12.  
  13. Several vulnerabilities in the Berkeley Internet Name Daemon (BIND) have been
  14. fixed in the current version of BIND. One of those vulnerabilities is now
  15. being exploited, a vulnerability that results in cache poisoning (malicious
  16. or misleading data from a remote name server is saved [cached] by another
  17. name server). All versions of BIND before release 8.1.1 are vulnerable.
  18.  
  19. The CERT/CC team recommends installing a patch from your vendor (See Appendix
  20. A). Until you can install a vendor patch, we recommend the workaround
  21. described in Section III.B. We also urge you to take the additional
  22. precautions described in Section III.C.
  23.  
  24. We will update this advisory as we receive additional information. Please
  25. check our advisory files regularly for updates that relate to your site.
  26.  
  27. - -----------------------------------------------------------------------------
  28.  
  29. I.   Description
  30.  
  31.      The Berkeley Internet Name Daemon (BIND) is an implementation of the
  32.      Domain Name Service (DNS) written primarily for UNIX Systems. BIND
  33.      consists of three parts:
  34.  
  35.      * The client part. This part contains subroutine libraries used by
  36.        programs that require DNS services. Example clients of these libraries
  37.        are telnet, the X Windows System, and ssh (the secure shell). The
  38.        client part consists of subroutine libraries, header files, and manual
  39.        pages.
  40.  
  41.      * The server part. This part contains the name server daemon (named) and
  42.        its support program (named-xfer). These programs provide one source of
  43.        the data used for mapping between host names and IP addresses. When
  44.        appropriately configured, these name server daemons can interoperate
  45.        across a network (the Internet for example) to provide the mapping
  46.        services for that network. The server part consists of the daemon, its
  47.        support programs and scripts, and manual pages.
  48.  
  49.      * The tools part. This part contains various tools for interrogating
  50.        name servers in a network. They use the client part to extract
  51.        information from those servers. The tools part consists of these
  52.        interrogation tools and manual pages.
  53.  
  54.      As BIND has matured, several vulnerabilities in the client, server,
  55.      and tools parts have been fixed. Among these is server cache poisoning.
  56.      Cache poisoning occurs when malicious or misleading data received from
  57.      a remote name server is saved (cached) by another name server. This
  58.      "bad" data is then made available to programs that request the cached
  59.      data through the client interface.
  60.  
  61.      Analysis of recent incidents reported to the CERT Coordination Center
  62.      has shown that the cache poisoning technique is being used to adversely
  63.      affect the mapping between host names and IP addresses. Once this
  64.      mapping has been changed, any information sent between hosts on a
  65.      network may be subjected to inspection, capture, or corruption.
  66.  
  67.      Although the new BIND distributions do address important security
  68.      problems, not all known problems are fixed. In particular, several
  69.      problems can be fixed only with the use of cryptographic authentication
  70.      techniques. Implementing and deploying this solution is non-trivial;
  71.      work on this task is currently underway within the Internet community.
  72.  
  73. II.  Impact
  74.  
  75.      The mapping between host names and IP addresses may be changed. As
  76.      a result, attackers can inspect, capture, or corrupt the information
  77.      exchanged between hosts on a network.
  78.  
  79. III. Solution
  80.  
  81.      A.  Obtain and install a patch for this problem.
  82.  
  83.          Information from vendors can be found in Appendix A of this advisory;
  84.          we will update the appendix as we receive more information.
  85.  
  86.  
  87.      B.  Until you are able to install the appropriate patch, we recommend
  88.          the following workaround.
  89.  
  90.          The "best practice" for operating the publicly available BIND
  91.          system can be either:
  92.  
  93.          * a heterogeneous solution that involves first installing BIND
  94.            release 4.9.6 and then release 8.1.1, or
  95.  
  96.          * a homogeneous solution that involves installing only BIND release
  97.            8.1.1.
  98.  
  99.          In the paragraphs below, we describe how to determine which solution
  100.          you should use.
  101.  
  102.          1. Shared Object Client Subroutine Library
  103.  
  104.             If your system and its programs rely on the shared object client
  105.             subroutine library that comes with some releases of BIND, probably
  106.             named libresolv.so, then you need the shared object subroutine
  107.             library and other client software from release 4.9.6. (As of
  108.             this writing, BIND version 8 does not yet support the client
  109.             part as a shared object library.) This client software is
  110.             available at
  111.  
  112.               ftp://ftp.isc.org/isc/bind/src/4.9.6/bind-4.9.6-REL.tar.gz
  113.                 MD5 (bind-4.9.6-REL.tar.gz) = 76dd66e920ad0638c8a37545a6531594
  114.  
  115.             Follow the instructions in the file named INSTALL in the top-level
  116.             directory.
  117.  
  118.             After installing this client part, install the server and tool
  119.             parts from release 8.1.1. This software is available at
  120.  
  121.               ftp://ftp.isc.org/isc/bind/src/8.1.1/bind-src.tar.gz
  122.                 MD5 (bind-src.tar.gz) = 7487b8d647edba2053edc1cda0c6afd0
  123.  
  124.             Follow the instructions in the src/INSTALL file. Note that
  125.             this version will install the client libraries and header files
  126.             in a non-standard place, /usr/local/lib and /usr/local/include.
  127.             The src/INSTALL file describes what is being installed and
  128.             where.
  129.  
  130.             When you install release 4.9.6 first, its client, server, and
  131.             tools parts will be installed in the production locations. When
  132.             you then install release 8.1.1, the server and tools parts will be
  133.             overwritten by that release's versions, but the 4.9.6 client part
  134.             will not.
  135.  
  136.          2. No Shared Object Client Subroutine Library
  137.  
  138.             If you do not need the shared object client subroutine library,
  139.             then you need only upgrade to release 8.1.1. This software is
  140.             available at
  141.  
  142.               ftp://ftp.isc.org/isc/bind/src/8.1.1/bind-src.tar.gz
  143.                 MD5 (bind-src.tar.gz) = 7487b8d647edba2053edc1cda0c6afd0
  144.  
  145.             Follow the instructions in src/INSTALL. Note that the client
  146.             subroutine library and header files are installed in
  147.             /usr/local/lib and /usr/local/include respectively. To use
  148.             these when building other systems, you will need to refer to
  149.             their installed locations.
  150.  
  151.  
  152.         Note: ftp://ftp.isc.org/isc/bind/src/ is mirrored in
  153.               Germany at ftp://ftp.cert.dfn.de/pub/tools/net/bind/src/
  154.  
  155.         As new versions of BIND are released in the future, you will be able
  156.         to find them at these sites, as well as other mirrors. You can also
  157.         check ftp://info.cert.org/pub/latest_sw_versions/ for version
  158.         information. 
  159.  
  160.  
  161.      C. Take additional precautions.  
  162.  
  163.         As good security practice in general, filter at a router all
  164.         name-based authentication services so that you do not rely on DNS
  165.         information for authentication. This includes the services rlogin, rsh
  166.         (rcp), xhost, NFS, and any other locally installed services that
  167.         provide trust based on domain name information.
  168.  
  169. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  170.  
  171. Appendix A - Vendor Information
  172.  
  173. Below is a list of the vendors who have provided information for this
  174. advisory. We will update this appendix as we receive additional information.
  175. If you do not see your vendor's name, the CERT/CC did not hear from that
  176. vendor. Please contact the vendor directly.
  177.  
  178.  
  179. Cray Research - A Silicon Graphics Company
  180. ===========================================
  181.   Cray Research has determined that the version of BIND shipped with all
  182.   current releases of Unicos and Unicos/mk are susceptible to the problem
  183.   described in this advisory.  We are currently working on upgrading our
  184.   version of BIND to the 4.9.6 release.
  185.  
  186.  
  187. Digital Equipment Corporation
  188. =============================
  189. xref CASE ID: SSRT0494U
  190.  
  191.  At the time of writing this document, patches(binary kits) are in
  192.  progress and final patch testing is expected to begin soon. 
  193.  Digital will provide notice of the completion/availability of the
  194.  patches through AES services (DIA, DSNlink FLASH) and be
  195.  available from your normal Digital Support channel.
  196.  
  197.                                 DIGITAL EQUIPMENT CORPORATION   AUG/97
  198.                                 -----------------------------   ------
  199.  
  200. Hewlett-Packard Company
  201. =======================
  202.    HP is vulnerable. Patches in process.
  203.  
  204.  
  205. IBM Corporation
  206. =============== 
  207.   IBM is currently working on the following APARs which will be
  208.   available soon:
  209.  
  210.     AIX 4.1:  IX70236
  211.     AIX 4.2:  IX70237
  212.  
  213.   To Order
  214.   --------
  215.     APARs may be ordered using Electronic Fix Distribution (via FixDist)
  216.     or from the IBM Support Center.  For more information on FixDist,
  217.     reference URL:
  218.  
  219.        http://service.software.ibm.com/aixsupport/
  220.  
  221.     or send e-mail to aixserv@austin.ibm.com with a subject of "FixDist".
  222.  
  223.   IBM and AIX are registered trademarks of International Business Machines
  224.   Corporation.
  225.  
  226.  
  227. NEC Corporation
  228. ===============
  229.    NEC is vulnerable.  The systems affected by this problem
  230.    are as follows:
  231.  
  232.         UX/4800
  233.         UX/4800(64)
  234.         EWS-UX/V(Rel4.2MP)
  235.         EWS-UX/V(Rel4.2)
  236.         UP-UX/V(Rel4.2MP)
  237.  
  238.    Patches are in progress and will be made available from
  239.    ftp://ftp.meshnet.or.jp/pub/48pub/security.
  240.  
  241.  
  242. Siemens-Nixdorf Informationssysteme AG
  243. ======================================
  244.   We are investigating this problem and will provide updated information
  245.   for this advisory when it becomes available.
  246.  
  247.  
  248. The Santa Cruz Operation
  249. ========================
  250.    The following SCO operating systems are vulnerable:  
  251.  
  252.    - SCO Open Desktop/Open Server 3.0, SCO UNIX 3.2v4
  253.    - SCO OpenServer 5.0
  254.    - SCO UnixWare 2.1
  255.  
  256.    SCO CMW+ 3.0 is not vulnerable as bind is not supported on CMW+ platforms.
  257.  
  258.    SCO has made an interim fix available for anonymous ftp:
  259.  
  260.         ftp://ftp.sco.com/SSE/sse008.ltr.Z - cover letter
  261.         ftp://ftp.sco.com/SSE/sse008.tar.Z - replacement binaries
  262.  
  263.    The fix includes binaries for the following SCO operating systems:
  264.  
  265.    - SCO Open Desktop/Open Server 3.0, SCO UNIX 3.2v4
  266.    - SCO OpenServer 5.0
  267.    - SCO UnixWare 2.1
  268.  
  269.  
  270. Sun Microsystems, Inc.
  271. ======================
  272.   We are producing patches.
  273.  
  274. - -----------------------------------------------------------------------------
  275.  
  276. The CERT Coordination Center staff thanks Paul Vixie and Wolfgang Ley for
  277. their contributions to this advisory.
  278.  
  279. - -----------------------------------------------------------------------------
  280.  
  281. If you believe that your system has been compromised, contact the CERT
  282. Coordination Center or your representative in the Forum of Incident Response
  283. and Security Teams (see http://www.first.org/team-info/).
  284.  
  285.  
  286. CERT/CC Contact Information
  287. - ----------------------------
  288. Email    cert@cert.org
  289.  
  290. Phone    +1 412-268-7090 (24-hour hotline)
  291.                 CERT personnel answer 8:30-5:00 p.m. EST(GMT-5) / EDT(GMT-4)
  292.                 and are on call for emergencies during other hours.
  293.  
  294. Fax      +1 412-268-6989
  295.  
  296. Postal address
  297.          CERT Coordination Center
  298.          Software Engineering Institute
  299.          Carnegie Mellon University
  300.          Pittsburgh PA 15213-3890
  301.          USA
  302.  
  303. Using encryption
  304.    We strongly urge you to encrypt sensitive information sent by email. We can
  305.    support a shared DES key or PGP. Contact the CERT/CC for more information.
  306.    Location of CERT PGP key
  307.          ftp://info.cert.org/pub/CERT_PGP.key
  308.  
  309. Getting security information
  310.    CERT publications and other security information are available from
  311.         http://www.cert.org/
  312.         ftp://info.cert.org/pub/
  313.  
  314.    CERT advisories and bulletins are also posted on the USENET newsgroup
  315.         comp.security.announce
  316.  
  317.    To be added to our mailing list for advisories and bulletins, send
  318.    email to
  319.         cert-advisory-request@cert.org
  320.    In the subject line, type
  321.         SUBSCRIBE  your-email-address
  322.  
  323. - ---------------------------------------------------------------------------
  324.  
  325. Copyright 1997 Carnegie Mellon University. Conditions apply; they can be found
  326. in http://www.cert.org/legal_stuff.html and
  327. ftp://info.cert.org/pub/legal_stuff. If you do not have FTP or web access,
  328. send mail to cert@cert.org with "copyright" in the subject line.
  329.  
  330. *CERT is registered in the U.S. Patent and Trademark Office.
  331.  
  332. - ---------------------------------------------------------------------------
  333.  
  334. This file: ftp://info.cert.org/pub/cert_advisories/CA-97.22.bind
  335.            http://www.cert.org
  336.                click on "CERT Advisories"
  337.  
  338. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  339. Revision history
  340.  
  341. -----BEGIN PGP SIGNATURE-----
  342. Version: 2.6.2
  343.  
  344. iQCVAwUBM/IEfHVP+x0t4w7BAQEIhgQAxnJF/2CgyiHANLM9bMkVJVsxixBQ2yIX
  345. 4pwaG91tu9d00jfYhOAvzIz95STNMM0Cr1mgn57FkElqDC8fOTLdrdzOrKBQVf11
  346. v1oiIjEQaHX3CcP/gzzL0J+YKg7P1olF9QbNkPlDicgVzv+jLeTGcRcU9iv6Ug74
  347. LXjZUF4Sr60=
  348. =aml2
  349. -----END PGP SIGNATURE-----
  350.