home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0107.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  18.3 KB  |  451 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4. =============================================================================
  5. CERT(sm) Advisory CA-96.02
  6. Original issue date:   February 15, 1996
  7. Last revised: June  25, 1997
  8.               Appendix - Changed Vixie entry to point to Updates.
  9.               Updates - June 25, 1997 Updates section -
  10.                              Current release information.
  11.  
  12.               A complete revision history is at the end of this advisory.
  13.  
  14. Topic: BIND Version 4.9.3
  15. - -----------------------------------------------------------------------------
  16.  
  17. Vulnerabilities in the Berkeley Internet Name Domain (BIND) program make it
  18. possible for intruders to render Domain Name System (DNS) information
  19. unreliable. At the beginning of this year, a version of BIND (4.9.3) became
  20. available that fixes several security problems that are being exploited by
  21. the intruder community.
  22.  
  23. The CERT staff urges you to install the appropriate patch from your vendor. If
  24. a patch is not currently available, an alternative is to install BIND 4.9.3
  25. yourself. (Note: Although BIND will be further improved in the future, we urge
  26. you to upgrade now because of the seriousness of the problems addressed by
  27. version 4.9.3.) If neither of the above alternatives is possible, we strongly
  28. recommend blocking or turning off DNS name-based authentication services such
  29. as rlogin.
  30.  
  31. We will update this advisory as we receive additional information.
  32. Please check advisory files regularly for updates that relate to your site.
  33.  
  34. - -----------------------------------------------------------------------------
  35.  
  36. I.   Description
  37.  
  38.      Version 4.9.3 of the Berkeley Internet Name Domain (BIND) program
  39.      fixes several security problems that are well known and being
  40.      exploited by the intruder community to render Domain Name System (DNS)
  41.      information unreliable.
  42.  
  43.      BIND is an implementation of the Domain Name System. (For details,
  44.      see RFC 1035, a publication of the Internet Engineering Task Force.)
  45.      The full distribution of BIND includes a number of programs and resolver
  46.      library routines. The main program is "named", the daemon that provides
  47.      DNS information from local configuration files and a local cache. The
  48.      named daemon is often called /etc/named or /etc/in.named. Programs such
  49.      as Telnet communicate with named via the resolver library routines
  50.      provided in the BIND distribution.
  51.  
  52.      Services in widespread use that depend on DNS information for
  53.      authentication include rlogin, rsh (rcp), xhost, and NFS. Sites may
  54.      have installed locally other services that trust DNS information.
  55.      In addition, many other services, such as Telnet, FTP, and email,
  56.      trust DNS information. If these services are used only to make outbound
  57.      connections or informational logs about the source of connections, the
  58.      security impact is less severe than for services such as rlogin. Although
  59.      you might be willing to accept the risks associated with using these
  60.      services for now, you need to consider the impact that spoofed DNS
  61.      information may have.
  62.  
  63.      Although the new BIND distributions do address important security
  64.      problems, not all known problems are fixed. In particular, several
  65.      problems can be fixed only with the use of cryptographic authentication
  66.      techniques. Implementing and deploying this solution is non-trivial;
  67.      work on this task is currently underway within the Internet community.
  68.  
  69.      The CERT staff has received information that the next minor
  70.      release of BIND nameserver will be enforcing RFC952 (as modified
  71.      by RFC1123) hostname conformance as part of its SECURITY
  72.      measures. Following The BIND release, hostnames that fail to
  73.      conform to these rules will be unreachable from sites running
  74.      these servers.
  75.  
  76.      Hostnames (A records) are restricted to the following characters only:
  77.  
  78.             "A" - "Z", "a" - "z", "0" - "9", "." and "-"
  79.  
  80.      These characters are specifically excluded:  "_" and "/".
  81.  
  82.      For a full description of what is allowed in a hostname, please
  83.      refer to RFC952 and RFC1123, available from
  84.  
  85.      http://ds.internic.net/ds/
  86.  
  87.         RFC952: DOD INTERNET HOST TABLE SPECIFICATION, October 1985
  88.         RFC1123: Requirements for Internet Hosts -- Application and
  89.                         Support, October 1989
  90.  
  91.      A program is available for checking hostnames and IP addresses.
  92.      It is available in
  93.  
  94.           ftp://info.cert.org/pub/tools/ValidateHostname/IsValid.c
  95.           ftp://ftp.cert.dfn.de/pub/tools/net/ValidateHostname/IsValid.c
  96.  
  97.      The following files are in the directory (from the README):
  98.  
  99. IsValid.l       The lex/flex file containing the code for
  100.                 IsValidHostname and IsValidIPAddress
  101.                 MD5 (IsValid.l) = 2d35040aacae4fb12906eb1b48957776
  102.  
  103. IsValid-raw.c   The C file created by running flex
  104.                 on IsValid.l
  105.                 MD5 (IsValid-raw.c) = 367c77d3ef84bc63a5c23d90eeb69330
  106.  
  107. IsValid.c       The editted file created by internalizing
  108.                 variable and function definitions in
  109.                 IsValid-raw.c
  110.                 MD5 (IsValid.c) = ffe45f1256210aeb71691f4f7cdad27f
  111.  
  112. IsValid.diffs   The set of diffs between IsValid-raw.c
  113.                 and IsValid.c
  114.                 MD5 (IsValid.diffs) = 3619022cf31d735151f8e8c83cce3744
  115.  
  116. htest.c         A main routing for testing IsValidHostname
  117.                 and IsValidIPAddress
  118.                 MD5 (htest.c) = 2d50b2bffb537cc4e637dd1f07a187f4
  119.  
  120.  
  121.  
  122. II.  Impact
  123.  
  124.      It is possible for intruders to spoof BIND into providing incorrect
  125.      name data. Some systems and programs depend on this information for
  126.      authentication, so it is possible to spoof those systems and gain
  127.      unauthorized access.
  128.  
  129. III. Solutions
  130.  
  131.      The preferred solution, described in Section A, is to install your
  132.      vendor's patch if one is available. An alternative (Section B) is to
  133.      install the latest version of BIND. In both cases, we encourage you to
  134.      take the additional precautions described in Section C.
  135.  
  136.   A. Obtain the appropriate patch from your vendor and install it according to
  137.      instructions included with the program.
  138.  
  139.      Redistributing BIND and all programs affected by these problems is not
  140.      a simple matter, so some vendors are working on new named daemon as an
  141.      immediate patch. Although installing a new named daemon addresses some
  142.      problems, significant problems remain that can be addressed only by
  143.      fully installing fixes to the library resolver routines.
  144.  
  145.      If your vendor's patch does not include both named and new resolver
  146.      routines, we recommend that you install the current version of BIND
  147.      (Solution B) if possible. We also encourage you to take the precautions
  148.      described in Section C.
  149.  
  150.      Below is a list of the vendors and the status they have provided
  151.      concerning BIND. More complete information is provided in Appendix A
  152.      of this advisory. We will update the appendix as we receive more
  153.      information from vendors.
  154.  
  155.      If your vendor's name is not on the list, contact the vendor directly for
  156.      status information and further instructions.
  157.  
  158. Vendor             New named available  Full distribution available
  159. - ------             -------------------   ---------------------------
  160. Digital Equipment                         Work is under way.
  161. Hewlett-Packard    Under investigation.   Currently porting and testing
  162.                                           (BIND 4.9.3) for the Q1, Calendar 97
  163.                                           general release. Patch in process
  164.                                           for 10.X releases.
  165. IBM Corporation                           Work is under way.
  166. NEC Corporation                           Work is under way.
  167. Santa Cruz Operation                      Under consideration.
  168. Silicon Graphics, Inc.                    Under investigation.
  169. Solbourne (Grumman)                       Customers should install BIND 4.9.3.
  170. Sun Microsystems                          Patches available.
  171.  
  172.   B. Install the latest version of BIND (version 4.9.3), available from Paul
  173.      Vixie, the current maintainer of BIND:
  174.  
  175.          ftp://ftp.vix.com/pub/bind/release/4.9.3/bind-4.9.3-REL.tar.gz
  176.  
  177.          MD5 (bind-4.9.3-REL.tar.gz) = da1908b001f8e6dc93fe02589b989ef1
  178.  
  179.       Also get Patch #1 for 4.9.3:
  180.  
  181.          ftp://ftp.vix.com/pub/bind/release/4.9.3/Patch1
  182.  
  183.          MD5 (Patch1) = 5d57ad13381e242cb08b5da0e1e9c5b9
  184.  
  185.      To find the most current version of bind, see
  186.           ftp://info.cert.org/pub/latest_sw_versions/
  187.  
  188.  
  189.   C. Take additional precautions.
  190.  
  191.      To protect against vulnerabilities that have not yet been addressed, and
  192.      as good security practice in general, filter at a router all name-based
  193.      authentication services so that you do not rely on DNS information for
  194.      authentication. This includes the services rlogin, rsh (rcp), xhost, NFS,
  195.      and any other locally installed services that provide trust based on
  196.      domain name information.
  197.  
  198.  
  199. ......................................................................
  200. Appendix A
  201.  
  202. Below is information we have received from vendors. If you do not see an
  203. entry for your vendor, please contact the vendor directly for status
  204. information and further instructions.
  205.  
  206.  
  207. - ---------------------------------------
  208. Paul Vixie
  209.  
  210.         See Updates Section
  211.  
  212. - ---------------------------------------
  213. Digital Equipment Corporation
  214.  
  215. At the time of writing this advisory, Digital intends to support the final
  216. revision of BIND 4.9.3. The project plan for incorporating Version 4.9.3 BIND
  217. for Digital's ULTRIX platforms has been approved. This includes 4.3, V4.3A,
  218. V4.4 and V4.5.
  219.  
  220. A similar project plan for Digital UNIX versions is under review. The first
  221. implementations will be V3.0 through V3.2D, and V4.0, when released. It is our
  222. plan to evaluate and then incorporate V4.9.3 Bind into other UNIX versions as
  223. necessary to reduce risk to our customer base.
  224.  
  225. Digital will provide notice of the completion of the kits through AES services
  226. (DIA, DSNlink FLASH) and be available from your normal Digital Support
  227. channel.
  228.  
  229. - ---------------------------------------
  230. Hewlett-Packard Company
  231.  
  232. The named daemon is under investigation. HP will provide updated
  233. information for the CERT advisory.
  234.  
  235. HP is currently porting and testing BIND 4.9.3 for a general release
  236. first quarter of 1997. A patch is in process for 10.X releases. Watch
  237. for CERT advisory updates and a Security Bulletin from HP.
  238.  
  239. - ---------------------------------------
  240. IBM Corporation
  241.  
  242. Work is under way.
  243.  
  244. - ---------------------------------------
  245. NEC Corporation
  246.  
  247. Some systems are vulnerable. We are developing the patches and plan to put
  248. them on our anonymous FTP server. You can contact us with the following
  249. e-mail address if you need.
  250.  
  251. E-mail: UX48-security-support@nec.co.jp
  252. FTP server: ftp://ftp.meshnet.or.jp
  253.  
  254. - ---------------------------------------
  255. The Santa Cruz Operation, Inc.
  256.  
  257. SCO is currently considering a port of the new BIND into its product line,
  258. but no timeline is yet available. This includes SCO OpenServer and SCO
  259. UNIXWare.
  260.  
  261. - ---------------------------------------
  262. Silicon Graphics Inc.
  263.  
  264. SGI acknowledges CERT Advisory CA-96.02 and is currently investigating.
  265. No further information is available at this time.
  266.  
  267. As further information becomes available, additional advisories will
  268. be available from ftp://sgigate.sgi.com.
  269.  
  270. - ---------------------------------------
  271. Solbourne (Grumman)
  272.  
  273. Solbourne have determined that Solbourne Computers are vulnerable.
  274. A patch is not available and they recommend Solbourne customers install
  275. BIND version 4.9.3.
  276.  
  277. - ---------------------------------------
  278. Sun Microsystems, Inc.
  279.  
  280. Sun Security Patches and Bulletins are available through your local
  281. SunService and SunSoft Support Services organizations, via the
  282. security-alert alias (security-alert@sun.com) and on SunSolve
  283. Online:
  284.  
  285.         http://sunsolve1.sun.com/
  286.  
  287. SunOS 5.3/Solaris 2.3
  288. - ---------------------
  289.         101359-03       SunOS 5.3: DNS spoofing is possible per CERT CA-96.02
  290.         101739-12       sendmail patch
  291.         102167-03       nss_dns.so.1 rebuild for BIND 4.9.3
  292.         103705-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  293.  
  294. SunOS 5.4/Solaris 2.4
  295. - ---------------------
  296.         102479-02       SunOS 5.4: DNS spoofing is possible per CERT CA-96.02
  297.         102066-11       sendmail patch
  298.         102165-03       nss_dns.so.1 rebuild for BIND 4.9.3
  299.         103706-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  300.  
  301. SunOS 5.4_x86/Solaris 2.4_x86
  302. - -----------------------------
  303.         102480-02       SunOS 5.4_x86: DNS spoofing is possible per
  304.                           CERT CA-96.02
  305.         102064-10       sendmail patch
  306.         102166-03       nss_dns.so.1 rebuild for BIND 4.9.3
  307.         103707-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  308.  
  309.  
  310. SunOS 5.5/Solaris 2.5
  311. - ---------------------
  312.         103667-01       SunOS 5.5: DNS spoofing is possible per CERT CA-96.02
  313.         102980-07       sendmail patch
  314.         103279-02       nscd/nscd_nischeck rebuild for BIND 4.9.3
  315.         103703-01       nss_dns.so.1 rebuild for BIND 4.9.3
  316.         103708-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  317.  
  318. SunOS 5.5_x86/Solaris 2.5_x86
  319. - -----------------------------
  320.         103668-01       SunOS 5.5_x86: DNS spoofing is possible per
  321.                           CERT CA-96.02
  322.         102981-07       sendmail patch
  323.         103280-02       nscd/nscd_nischeck rebuild for BIND 4.9.3
  324.         103704-01       nss_dns.so.1 rebuild for BIND 4.9.3
  325.         103709-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  326.  
  327. SunOS 5.5.1/Solaris 2.5.1
  328. - -------------------------
  329.         103663-01       SunOS 5.5.1: DNS spoofing is possible per CERT CA-96.02
  330.         103594-03       sendmail patch
  331.         103680-01       nscd/nscd_nischeck rebuild for BIND 4.9.3
  332.         103683-01       nss_dns.so.1 rebuild for BIND 4.9.3
  333.         103686-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  334.  
  335. SunOS 5.5.1_ppc/Solaris 2.5.1_ppc
  336. - ---------------------------------
  337.         103665-01       SunOS 5.5.1_ppc: DNS spoofing is possible per
  338.                           CERT CA-96.02
  339.         103596-03       sendmail patch
  340.         103682-01       nscd/nscd_nischeck rebuild for BIND 4.9.3
  341.         103685-01       nss_dns.so.1 rebuild for BIND 4.9.3
  342.         103688-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  343.  
  344. SunOS 5.5.1_x86/Solaris 2.5.1_x86
  345. - ---------------------------------
  346.         103664-01       SunOS 5.5.1_x86: DNS spoofing is possible per
  347.                           CERT CA-96.02
  348.         103595-03       sendmail patch
  349.         103681-01       nscd/nscd_nischeck rebuild for BIND 4.9.3
  350.         103684-01       nss_dns.so.1 rebuild for BIND 4.9.3
  351.         103687-01       rpc.nisd_resolv rebuild for BIND 4.9.3
  352.  
  353.  
  354. - ---------------------------------------------------------------------------
  355. The CERT Coordination Center wishes to thank Paul Vixie for his efforts in
  356. responding to this problem and his aid in developing this advisory.
  357. - ---------------------------------------------------------------------------
  358.  
  359. If you believe that your system has been compromised, contact the CERT
  360. Coordination Center or your representative in the Forum of Incident
  361. Response and Security Teams (FIRST).
  362.  
  363. We strongly urge you to encrypt any sensitive information you send by email.
  364. The CERT Coordination Center can support a shared DES key and PGP. Contact the
  365. CERT staff for more information.
  366.  
  367. Location of CERT PGP key
  368.          ftp://info.cert.org/pub/CERT_PGP.key
  369.  
  370. CERT Contact Information
  371. - ------------------------
  372. Email    cert@cert.org
  373.  
  374. Phone    +1 412-268-7090 (24-hour hotline)
  375.                 CERT personnel answer 8:30-5:00 p.m. EST
  376.                 (GMT-5)/EDT(GMT-4), and are on call for
  377.                 emergencies during other hours.
  378.  
  379. Fax      +1 412-268-6989
  380.  
  381. Postal address
  382.         CERT Coordination Center
  383.         Software Engineering Institute
  384.         Carnegie Mellon University
  385.         Pittsburgh PA 15213-3890
  386.         USA
  387.  
  388. To be added to our mailing list for CERT advisories and bulletins, send your
  389. email address to
  390.         cert-advisory-request@cert.org
  391.  
  392. CERT publications, information about FIRST representatives, and other
  393. security-related information are available for anonymous FTP from
  394.         ftp://info.cert.org/pub/
  395.  
  396. CERT advisories and bulletins are also posted on the USENET newsgroup
  397.         comp.security.announce
  398.  
  399.  
  400. Copyright 1996 Carnegie Mellon University
  401. This material may be reproduced and distributed without permission provided it
  402. is used for noncommercial purposes and the copyright statement is included.
  403.  
  404. CERT is a service mark of Carnegie Mellon University.
  405.  
  406. ==============================================================================
  407. UPDATES
  408.  
  409. June 25, 1997
  410. - -------------
  411.  
  412. If you are running BIND 8.1 you want to upgrade. The current version
  413. of BIND (8.8.1) is available by anonymous FTP from
  414.  
  415.   ftp://ftp.isc.org/isc/bind/src/8.1.1
  416.  
  417. If you are still running BIND-4 rather than BIND-8, you need the
  418. security patches contained in BIND 4.9.6. Available from
  419.  
  420.   ftp://ftp.isc.org/isc/bind/src/4.9.6/
  421.  
  422. The author of BIND encourages sites to switch to BIND-8.
  423.  
  424. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  425. Revision History
  426.  
  427. June 25, 1997  Appendix, Changed Vixie entry to point to Updates.
  428.                Updates section - Current release information.
  429. May 22, 1997  Updates section - noted current version of BIND and new location
  430.                                 for the BIND archives.
  431. Aug. 30, 1996  Information previously in the README was inserted into the
  432.                advisory.
  433. Aug. 01, 1996  Appendix - updated Sun patch information
  434. Apr. 08, 1996  Sec. I - added information about the next release of BIND
  435.                and the IsValid program to the end of the section
  436. Mar. 29, 1996  Appendix, Sun - added information
  437. Feb. 27, 1996  Appendix, SGI - added an entry
  438. Feb. 21, 1996  Appendix, IBM & Solbourne - added entries
  439.  
  440.  
  441. -----BEGIN PGP SIGNATURE-----
  442. Version: 2.6.2
  443.  
  444. iQCVAwUBM7FTMXVP+x0t4w7BAQEJeQQAuX0ES2Kpdu6mALkezPcqp2tVPhemdGoR
  445. O8Nw4ILB35+Q6yoym7bYWv+DnbCxXLZri/qux5dyf6z6uu0FVgn5hEE2qyHCnoRR
  446. nhy5Wd7tNIwCVZyXV052EpYk1JGi0vbxkBwZUIgaDGKakwEuUHYn0NVeJduqeu7b
  447. Ag+HV5N4TZ8=
  448. =eGrm
  449. -----END PGP SIGNATURE-----
  450.  
  451.