gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Vulnerabilidades no BIND 4 e 8
Contribuído por scorpio em 13-11-02 10:13
do departamento yet-another...
dns De acordo com a mailing-list bind-announce e algumas outras logo a seguir, a equipa ISS X-Force encontrou algumas vulnerabilidades no BIND versões 4 e 8. Penso que "can lead to buffer overflow and remote execution of arbitrary code" e "leading to a DoS condition" são esclarecedores o suficiente.
É aconselhado o upgrade para o BIND 9.2.1 ou a aplicação de patches que estarão aí a sair.
É incrível a quantidade de pessoas (incluindo a própria ISC!) que já se habituaram ao facto de o BIND ser um problema recorrente relativo à segurança; é particularmente hilariante a tabela que sumariza as vulnerabilidades por versão do bind, no fundo da página.
Será que é desta que um ataque aos servidores de DNS dói mesmo muito? Conclusão: Go-Patch, Go-upgrade ou durmam descansados...

Mensagens de erro geradas pelo Mozilla | Google Compute  >

 

gildot Login
Login:

Password:

Referências
  • bind-announce
  • encontrou algumas vulnerabilidades no BIND versões 4 e 8
  • BIND 9.2.1
  • tabela que sumariza as vulnerabilidades por versão do bind
  • durmam descansados
  • Mais acerca dns
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Pois é... (Pontos:2)
    por Branc0 em 13-11-02 11:09 GMT (#1)
    (Utilizador Info) http://www.syners.org
    O que é incrivel é haver tanto barulho por causa de uma vulnerabilidade no BIND 4 que ninguém usa.

    O que é incrivel é que se o BIND estiver bem configurado (ie a correr como user não priveligiado e chrootado - pelo menos o OpenBSD faz isso por defeito) os riscos são minimos principalmente numa rede que seja observada por um admin competente.

    O que é incrivel é haver pessoal a usar o BIND 8 quando já aconselharam a usar o BIND 9 há um ano.

    O que é incrivel não tem nada a ver com bugs ou exploits.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Pois é... (Pontos:0)
    por Anonimo Cobarde em 13-11-02 11:22 GMT (#2)
    Eu não chamaria a "DoS" e a "remote arbitrary code execution" riscos mínimos... mas filosofias, cada um tem a sua.
    Re:Pois é... (Pontos:2)
    por Branc0 em 13-11-02 12:26 GMT (#6)
    (Utilizador Info) http://www.syners.org
    Para quem está a correr a versão corrente do BIND (9.x) não há esse risco (or so they say).


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Pois é... (Pontos:3, Informativo)
    por [WaR] em 13-11-02 12:13 GMT (#5)
    (Utilizador Info) http://war.genhex.org/
    > O que é incrivel é que se o BIND estiver bem configurado (ie a correr como user não priveligiado e chrootado

    O facto de correr como nobody (ou outro qq) ou dentro de um chroot não elimina o risco, e na minha opiniao não é suficiente. No caso que falas, por ex, OpenBSD, o risco é bastante mais grave, já que existem vários bugs em syscalls (select() anyone?) que permitem executar codigo *DENTRO* do kernel. As consequências são obvias :)

    Quanto ao BIND 9, duas questoes:
    1- tens a certeza que nao tem também bugs deste género ?
    2- ver 1.

    Em resumo:

    Porque raio é que alguém mentalmente sano usa o BIND !?

    Eu não uso.

    -- [WaR]

    "If you can't hack it, hit it with a hammer"
    Re:Pois é... (Pontos:2)
    por Branc0 em 13-11-02 12:30 GMT (#7)
    (Utilizador Info) http://www.syners.org
    Quanto ao BIND 9, duas questoes: 1- tens a certeza que nao tem também bugs deste género ?

    Eu não tenho a certeza porque não fiz nenhuma auditoria ao código nem a saberia fazer mas segundo o advisory que te leva a dizer que o BIND 8 é a fonte de todos os males (irony) o BIND 9 não tem esses problemas.

    E eu não disse que correr como user não priveligiado era suficiente, disse que ajudava...


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Pois é... (Pontos:2)
    por [WaR] em 13-11-02 12:59 GMT (#8)
    (Utilizador Info) http://war.genhex.org/
    The point is: "o BIND 9 não tem esses problemas", com enfase no "ESSES" :)

    -- [WaR]
    "If you can't hack it, hit it with a hammer"
    Re:Pois é... (Pontos:0, Interessante)
    por Anonimo Cobarde em 14-11-02 1:48 GMT (#20)
    Uso desde sempre BIND 9.x, e, já tentei perceber o seu código para fazer auditoria (chamem-lhe curiosidade), e sinceramente, o código está apenas mais obfuscado que no 8.x; para além disso posso-te garantir que o código não é seguro se bem que chroot e corre-lo como utilizador não root já reduz o risco mas como o [WaR] diz, não te torna imune a outros problemas locais que possam ser posteriormente explorados.

    Existe ainda pessoas a usar o bind 4.x e a criar patches para o mesmo. Quanto ao usar bind 9.x em vez do 8.x, isso é o mesmo que dizer "para quê usar apache 1.3.x se já existe o 2.x" por alguma razão existe um contínuo desenvolvimento da versão 8.x, bem como a 9.x, embora a 4.x esteja parada no desenvolvimento mas aberta para download, com fins arqueologicos (tm).

    Bye!
    Re:Pois é... (Pontos:0, Engraçado)
    por Anonimo Cobarde em 14-11-02 11:25 GMT (#21)
    LOL.

    Primeiro dizes que tentaste perceber o codigo, o que significa que nao deves ser grande espingarda em C, e depois mais ha' frente ja' garantes que nao e' seguro. Claro que toda a gente vai acreditar em ti... claro! Um unico gajo que coda C desde ontem 'a tarde a auditar uma source base com cerca de 350 mil linhas de codigo, e em meia duzia de horas, tungas, ja' se arroga a dizer que ta' obfuscado e e' inseguro. Entao, Mr. Ken Thompson, ou Mr Dennis Richie, ou la' como tu te chamas, ja' que descobriste tantos problemas porque e' que nao fazes um favor 'a comunidade at large, e indicas quais sao? Ja agora, pontos de bonus se lancares patches!

    Enfim, tens umas pidas mto giras. Tens tens.

    Tu deste-te ao trabalho sequer de olhar para a source daquilo? Como raio podes dizer que esta' "obfuscada" ? E' que alem de o codigo em si ser mto mais claro, simples e legivel que o do 8.x, ate' comentarios q.b. tem! Quantos projectos opensource conheces tu com tantos comentarios e anotacoes na source? Go away, freak. Nao confundas a tua falta de talento com technical expertise.

    /usr/sources/bind-9.2.1$ find . -name '*.[ch]' | xargs --replace=% cat % | wc -l
      334307

    Fazes a mais pequena ideia de qtas man hours eram precisas para uma equipa inteira de skilled coders fazer uma auditoria _minimamente_ profunda a uma source-base com esta dimensao, que apesar de nao ser gigantesca, ja' e' apreciavel?

    Ou claro, se calhar eu e' que estou enganado e tu chamas-te Dawson Engler e 'es investigador em Stanford (hint hint, Stanford Checker, embora presumo que nunca tenhas ouvido falar disso, sequer).

    Olha, meu menino, Deus nosso senhor te de boa bistinha, ao menos!
    Bind 4 (Pontos:2, Esclarecedor)
    por joaobranco em 13-11-02 14:02 GMT (#10)
    (Utilizador Info)
    "Ninguém" usa bind4 é um bocado forte... ainda há poucas semanas fiz um upgrade numa máquina que usava Bind 4... E agora vai ser upgraded mas não tenho a certeza que mude para Bind 9 (o mais provavel é que se faça simplesmente o patch)... Claro que a máquina não é Linux ou mesmo i386.

    Sejemos honestos, mudar de Bind4 para Bind8 ou 9 ainda dá algum trabalho (principalmente se se quiser colocar aquilo a usar as transferências de zonas autorizadas e tivermos secundários em máquinas que não controlamos directamente).

    Não é nada incrivel usar software "desactualizado" porque muitas das vezes este está a correr em hardware antigo e que tem de estar a funcionar se não os "bicharocos" queixam-se. Num parque informático a sério não tens só computadores novos, não te esqueças...

    Cumps, JB

    Re:Bind 4 (Pontos:2)
    por Branc0 em 13-11-02 16:47 GMT (#16)
    (Utilizador Info) http://www.syners.org
    O BIND 4 já não é suportado há muito tempo. Eu também não tenho máquinas topo de gama na minha rede, mas BIND 4 era uma coisa que não usava pelo menos para servidores de DNS com acesso ao exterior.

    Para um dominio interno ainda era coisa que ficava lá até o chefe dar o aval de uma máquina nova.


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Pois é... (Pontos:3, Esclarecedor)
    por moonrider em 13-11-02 20:02 GMT (#17)
    (Utilizador Info)
    BIND 4 que ninguém usa.
    O bind 4 é ( ainda ) a distribuição por defeito de alguns sistemas operativos. Mudar a versão ( por parte do administrador do sistema ) por vezes implica a perda de alguns direitos a nível de suporte. Por parte de alguns fabricantes, a mudança não é linear pois implica alterações significativas no SO ( resolvers, libraries, etc. ).

    O que é incrivel é que se o BIND estiver bem configurado( ... ) os riscos são minimos
    Se estivermos a falar de um servidor exclusivamente de DNS, qualquer bug que impeça o funcionamento do mesmo, ou que permita que seja alterada informação, é muito crítico.

    O que, para mim, é mais incrível e reprovável é o "Fix" que vinha mencionado nos advisories:
    Fix:

    Vendors should speak to ISC about patches. New BIND 4 & 8 releases are coming soon.

    É vergonhoso para uma entidade como a ISC obrigar os interessados a falar com eles para obter informações sobre patches em vez de os publicar de imediato, e como se no bastasse continuarem a divulgar como versão mais recente e estável uma versão com bugs deste tipo !
    Re:Pois é... (Pontos:2)
    por Branc0 em 13-11-02 21:42 GMT (#18)
    (Utilizador Info) http://www.syners.org
    Concordo com tudo o que disseste excepto "divulgar como versão mais recente e estável uma versão com bugs deste tipo". A versão mais recente é a 9.1.2 que não tem bugs deste tipo (conhecidos).


    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton

    Re:Pois é... (Pontos:3, Esclarecedor)
    por moonrider em 13-11-02 22:29 GMT (#19)
    (Utilizador Info)
    Quando me referi "divulgar" era isto:

    Also in wide release

    BIND version 8 is still in wide usage. The latest version of BIND 8 is BIND Version 8.3.3 (Released June 28, 2002)

    Mas sinceramente, o que me aborrece é a divulgação dos bugs sem divulgar simultaneamente uma forma de os resolver. É uma má atitude que não gostava nada que se generalizasse.
    Relembramos os ataques aos DNS-Roots (Pontos:1)
    por rewt em 13-11-02 11:22 GMT (#3)
    (Utilizador Info)
    Boas,

    Há já algum tempo, ouve um ataque aos root-servers. Já nao me lembro quem é que saiu vencedor ou vencido! Contudo, acho que nao passou duma tentativa... Foi um ataque, mas sem graves consequências, ou nao? Agora, como ja referido, o admin competente, tem obrigação de levar estes promenores em linha de conta (de uma possibilidade de se poder executar remotamente, "arbitrary code"), entre outros! Acho que la por existir falhas no bind, as empresas normalmente estao preparadas para este tipo de accoes! Acho que não é preciso entrar em grande alarmismo por causa disto! Bugs, existem e sempre iram existir, infelizmente! =) Podemos sempre dar a volta há questão! I guess...

    Linux, a proof of concept!
    Vantagens e Desvantagens do sw do DJB (Pontos:2)
    por Cyclops em 13-11-02 14:00 GMT (#9)
    (Utilizador Info) http://www.1407.org
    Pro:
    • eficientes
    • supostamente seguros*

    Con:
    • single point of failure: DJB**
    • proprietários
    • para fazer coisas mais avançadas: patch hell

    Não estou familiarizado com outras alternativas livres ao bind, mas quanto a SMTP há pelo menos uma alternativa viável, segura*** e livre ao qmail e ao sendmail.

    * não se ter conseguido provar que não tem bugs (até agora) é diferente de provar que não tem bugs.

    ** Se o DJB morrer, só daqui por 70 anos é que alguém pode libertar uma versão corrigida de problemas que possam surgir. Entretanto (embora não me pareça que chegue ao ponto do qmail), benvindos ao patch hell

    *** já teve bugs, e creio que para ser perfeito e garantidamente sem bugs, um software provavelmente necessitará de ter a mesma ordem de utilidade que um printf("%d",42); ou auditoria extensiva (que é algo que a licença do qmail não permite: implicitamente, não podes fazer trabalhos derivados, e se olhas para o código do qmail, pode vir a tornar-se dificil provar que não levarás parte desse conhecimento para outro lado, limitando a possível participação em projectos de software livre).
    Re:Vantagens e Desvantagens do sw do DJB (Pontos:2)
    por higuita em 13-11-02 14:45 GMT (#11)
    (Utilizador Info) http://raff.fe.up.pt/~eq92025/
    por acaso nao me agrada nada nem o bind nem o djbdns

    para mail uso o postfix e acho uma muito boa 3 alternativa

    mas para DNS desconheco a existencia de qualquer outra alternativa minimanente segura e com regras menos restritivas, dicas sao bem vindas...


    Higuita
    Re:Vantagens e Desvantagens do sw do DJB (Pontos:1)
    por rmps em 13-11-02 15:09 GMT (#12)
    (Utilizador Info) http://www.somewhere.ath.cx
    MaraDNS - Não tem a paranoia de segurança do DJB, mas preocupa-se com ela. A licensa é BSD.

    --
    "In my egoistical opinion, most people's C programs should be indented six feet downward and covered with dirt."
    Re:Vantagens e Desvantagens do sw do DJB (Pontos:2)
    por Cyclops em 13-11-02 15:16 GMT (#13)
    (Utilizador Info) http://www.1407.org
    Referia-me ao postfix... :)
    Re:Vantagens e Desvantagens do sw do DJB (Pontos:2)
    por Cyclops em 13-11-02 15:59 GMT (#15)
    (Utilizador Info) http://www.1407.org
    Olha la, se não conheces alternativas ao bind deixa os comentários em casa...
    Hmms, por acaso pretendia dizer "Não estou familiarizado com outras alternativas livres ao djbdns para além do bind", e o bind é uma dor de cabeça. Para além disso, não estar familiarizado é diferente de não conhecer...

    esta-me a parecer que es um anti-djb, ja se viu na mailing-list da ansol. Pagam-te mais por dizeres mal do homem?
    Erms... que parte de anti-software-proprietário é que não percebes? O software do DJB não cai numa excepção a anti-software-proprietário... quanto a falar mal do homem, eu reconheço-lhe a sua competência técnica, mas não posso deixar de o criticar noutros aspectos. É uma apreciação dele, não é falar mal dele.

    E até me parece bem fundamentada...

     

     

    [ Topo | FAQ | Editores | Contacto ]