漏洞信息详情

ISC Bind 8 TSIG远程缓冲区溢出漏洞

• CNNVD编号：CNNVD-200102-011
• 危害等级： 超危
  
• CVE编号： CVE-2001-0010
• 漏洞类型： 未知
• 发布时间： 2001-01-29
• 威胁类型： 远程
• 更新时间： 2005-05-02
• 厂        商： isc
• 漏洞来源： Anthony Osborne Jo...

漏洞简介

BIND是一个实现域名服务协议的服务器软件。它在Internet上被广为使用。 它在TSIG(传输签名)的实现上存在一个缓冲区溢出漏洞，可能允许远程攻击者在BIND服务器上执行任意代码。由于溢出发生在DNS请求的初始化过程中，因此并不需要攻击者控制任何地权威DNS服务器，而且此问题影响所有递归和非递归的DNS服务器。 当收到一个DNS请求时，根据传输协议的不同，DNS请求的数据可能被存放到heap区或者是堆栈中。如果收到的是UDP报文，函数datagram_read()负责将其读入堆栈中的一个513字节大小的缓冲区(u.buf)；如果收到的是TCP报文，函数stream_getlen()负责将其读入位于heap区的一个64k大小的缓冲区(sp-＞s_buf).BIND使用两个关键的变量来跟踪这些缓冲区的使用情况：一个包含缓冲区中的实际长度，名为\"msglen\";另一个变量用来跟踪缓冲区的剩余长度，名为\"buflen\"。当BIND收到一个DNS信息后，msglen被初始化成从网络中接收到的数据长度。buflen被初始化成用来读取这个消息的缓冲区的大小。(对于UDP报文为512字节，对TCP报文为64k)。正常情况下，当BIND处理一个请求时，它会将回复记录附加到请求中。然后它会编辑DNS头，使其反映出这种变化，并发送此响应报文。在此过程中，BIND假设msglen加上buflen的大小等于缓冲区的原长度。从BIND 8.2开始，在BIND处理一个DNS请求之前，它会检查DNS信息的附加区域，检查是否有TSIG资源记录。函数ns_find_tsig()被用来进行这个检查。如果一个有效的TSIG标记被找到，但相应的安全字(security key)却没有找到，BIND将会报错，并绕过了正常的请求处理过程。结果，msglen和buflen都仍然保持它们的初始值。BIND将此请求看作时一个错误请求，它使用原来的请求缓冲区，在问题域中增加一段TSIG信息。这时候，BIND假设请求缓冲区的大小仍然是msglen+buflen.正常情况下，这是正确的，然而，在这种特殊情况下，msglen+buflen几乎是实际缓冲区大小的两倍！这样，当BIND使用ns_sign()函数添加TSIG信息时，它们将被填充在缓冲区之外。由于有效的安全字没有被发现，ns_sign()将只会增加很少的一些字节，而且字节的内容也是有限的。因此这可能导致两种类型的攻击。对于UDP请求，请求缓冲区在堆栈中，攻击者可以使用一些固定的值来覆盖datagram_read()函数保存在堆栈中的激活记录。在x86平台下，用0覆盖保留栈帧指针的最小字节，可能导致该指针指向原来的DNS请求缓冲区。这种单字节溢出可能导致执行任意代码。对于TCP请求，请求缓冲区在heap区中。攻击者可以使用一些固定的值来覆盖malloc()动态分配时的一些边界字节，这样下一个边界信息就可以从攻击者控制的缓冲区中读取，这可能导致一个恶意的指针覆盖，攻击者也可能执行任意代码。

漏洞公告

厂商补丁： Caldera ------- Caldera已经为此发布了一个安全公告(CSSA-2001-008.1)以及相应补丁:

CSSA-2001-008.1：BIND buffer overflow

链接： http://www.caldera.com/support/security/advisories/CSSA-2001-008.1.txt

补丁下载：

Caldera RPM OpenLinux 2.3 bind-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/OpenLinux/2.3/current/RPMS/RPMS/bind-8.2.3-1.i386.rpm

Caldera RPM OpenLinux 2.3 bind-doc-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/OpenLinux/2.3/current/RPMS/RPMS/bind-doc-8.2.3-1.i386.rpm

Caldera RPM OpenLinux 2.3 bind-utils-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/OpenLinux/2.3/current/RPMS/RPMS/bind-utils-8.2.3-1.i386.rpm

Caldera RPM eServer 2.3.1/eBuilder for ECential 3.0 bind-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/eServer/2.3/current/RPMS/RPMS/bind-8.2.3-1.i386.rpm

Caldera RPM eServer 2.3.1/eBuilder for ECential 3.0 bind-doc-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/eServer/2.3/current/RPMS/RPMS/bind-doc-8.2.3-1.i386.rpm

Caldera RPM eServer 2.3.1/eBuilder for ECential 3.0 bind-utils-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/eServer/2.3/current/RPMS/RPMS/bind-utils-8.2.3-1.i386.rpm

Caldera RPM eDesktop 2.4 bind-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/eDesktop/2.4/current/RPMS/RPMS/bind-8.2.3-1.i386.rpm

Caldera RPM eDesktop 2.4 bind-doc-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/eDesktop/2.4/current/RPMS/RPMS/bind-doc-8.2.3-1.i386.rpm

Caldera RPM eDesktop 2.4 bind-utils-8.2.3-1.i386.rpm

ftp://ftp.calderasystems.com/pub/updates/eDesktop/2.4/current/RPMS/RPMS/bind-utils-8.2.3-1.i386.rpm

Caldera Hotfix OpenServer <= 5.0.6a="">

ftp://ftp.sco.com/pub/security/openserver/sr379322/newbind.tar.Z Conectiva --------- Conectiva已经为此发布了一个安全公告(CLA-2001:377)以及相应补丁:

CLA-2001:377：Buffer overflow in bind allows a remote exploit

链接： http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000377

补丁下载：

tp://atualizacoes.conectiva.com.br/4.0/SRPMS/bind-8.2.3-1cl.src.rpm

ftp://atualizacoes.conectiva.com.br/4.0/i386/bind-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0/i386/bind-devel-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0/i386/bind-devel-static-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0/i386/bind-doc-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0/i386/bind-utils-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/bind-8.2.3-1cl.src.rpm

ftp://atualizacoes.conectiva.com.br/4.0es/i386/bind-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0es/i386/bind-devel-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0es/i386/bind-devel-static-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0es/i386/bind-doc-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.0es/i386/bind-utils-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/bind-8.2.3-1cl.src.rpm

ftp://atualizacoes.conectiva.com.br/4.1/i386/bind-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.1/i386/bind-devel-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.1/i386/bind-devel-static-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.1/i386/bind-doc-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.1/i386/bind-utils-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/bind-8.2.3-1cl.src.rpm

ftp://atualizacoes.conectiva.com.br/4.2/i386/bind-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.2/i386/bind-devel-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.2/i386/bind-devel-static-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.2/i386/bind-doc-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/4.2/i386/bind-utils-8.2.3-1cl.i386.rpm

ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/bind-8.2.3-1cl.src.rpm

ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/bind-chroot-8.2.3-1cl.src.rpm

ftp://atualizacoes.conectiva.com.br/5.0/i386/bind-8.2.3-1cl.i386.rpm

参考网址

来源:CERT/CC Advisory: CA-2001-02 名称: CA-2001-02 链接:http://www.cert.org/advisories/CA-2001-02.HTML 来源: BID 名称: 2302 链接:http://www.securityfocus.com/bid/2302 来源: REDHAT 名称: RHSA-2001:007 链接:http://www.redhat.com/support/errata/RHSA-2001-007.HTML 来源: NAI 名称: 20010129 Vulnerabilities in BIND 4 and 8 链接:http://www.nai.com/research/covert/advisories/047.asp 来源: DEBIAN 名称: DSA-026 链接:http://www.debian.org/security/2001/dsa-026

受影响实体

• Isc Bind:8.2.2:P2  
• Isc Bind:8.2.2:P3  
• Isc Bind:8.2.2:P4  
• Isc Bind:8.2.2:P5  
• Isc Bind:8.2.2:P6  

补丁

暂无