Im DNS-Resolver der Laufzeitbibliothek libc wurden mehrere Pufferüberlaufschwachstellen entdeckt.

Betroffene Systeme

• OpenBSD 2.8, 2.9, 3.0, 3.1
• FreeBSD
• NetBSD
• einige Produkte von Network Appliance
• Cray Unicos und Unicos/mk
• Solaris 2.5.1, 2.6. 7, 8 und 9
• GNU-Systeme, insbesondere GNU/Linux
• Systeme, die Code verwenden, der auf BIND 4 zwischen 4.8.3 und 4.8.8 basiert.
• Systeme, die Code verwenden, der auf libbind aus BIND 8 vor Version 8.3.3 basiert. (In den Quellen von BIND 9.2.0 und 9.2.1 ist ebenfalls eine Kopie enthalten.)
• Die letzten Punkte führen dazu, daß wahrscheinlich alle großen proprietäre UNIX-Hersteller Systeme mit dieser Schwachstelle auslieferten.

Nicht betroffene Systeme

• Apple MacOS X, MacOS X Server

Einfallstor
Speziell gestaltete Antworten auf DNS-Anfragen. Abhängig von verwendeten full resolver ist keine Kontrolle über den verwendeten lokalen DNS-Server nötig; Kontrolle über einen authoritative server ist für einen Angriffsversuch hinreichend.

Auswirkung
Wenn die Schwachstelle ausnutztbar ist, ermöglicht sie Angreifern, beliebigen Code mit root-Rechten auf einem betroffenen System auszuführen, falls ein mit root-Rechten laufenden Prozeß dazu gebracht werden kann, DNS-Anfragen zu stellen.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Wie die meisten C-Laufzeitbibliotheken für UNIX-ähnliche Systeme enthält die BSD-Version der libc Programmcode zur Umwandlung von Domainnamen in IP-Adressen unter Verwendung von DNS. Dieser Programmcode weist eine Pufferüberlaufschwachstelle bei der Aufbereitung von DNS-Paketen auf, die möglicherweise über das Netz ausgenutzt werden kann. Dadurch wäre es dann bei typischen Installationen möglich, beliebigen Code mit root-Rechten auszuführen.

Der DNS-Server named aus dem BIND-Paket selbst ist nicht von der Schwachstelle betroffen, da dieser die verwundbaren Routinen aus den mitgelieferten Bibliotheken nicht verwendet.

Hinweis zu den betroffenen Systemen. Gegenwärtig werden täglich neue Systeme bekannt, die den verwundbaren Code aus BIND übernommen haben. Entgegen früheren Angaben ist die C-Laufzeitenbibliothek für GNU-System (GNU libc) auch betroffen (wenn auch das Problem sich geringfügig unterscheidet), wodurch auch für GNU/Linux-Systeme ein Update erforderlich wird. Hintergrundinformationen zu den Unterschiedlichen Schwachstellen finden sich in RUS-CERT-Meldung #869.

Gegenmaßnahmen

• Gegenmaßnahmen für FreeBSD und NetBSD entnehmen Sie bitte den entsprechenden Advisories:
  • FreeBSD Security Advisory FreeBSD-SA-02:28.resolv
  • NetBSD Security Advisory 2002-006: buffer overrun in libc DNS resolver
  • openbsd-security-announce: buffer overflow in the DNS resolver

• Informationen zu Gegenmaßnahmen für Network-Appliance- und Cray-Produkte scheinen nicht öffentlich verfügbar zu sein.
• ISC BIND 8.3.3 behebt die Schwachstelle ebenfalls.
• Die Behauptung, BIND 9 als full resolver (lokaler DNS-Server) schütze vor Angriffen, wurde mittlerweile zurückgezogen.

Vulnerability IDs

• CERT/CC Vulnerability Note VU#803539

Revisionen

• V.1.0 (2002-06-26)
• V.2.0 (2002-06-28) Auch Systeme mit libbind sind betroffen; Verweis auf Vendor-Advisories.
• V.2.1 (2002-06-28) Weitere Ergänzungen. BIND-9-Resolver als Gegenmaßnahme.
• V.2.2 (2002-07-02) Solaris bestätigt, GNU/Linux auch betroffen.
• V.3.0 (2002-07-04) Verweis auf Meldung zu GNU libc, Hintergrundinformationen.
• V.3.1 (2002-07-16) MacOS X nicht betroffen.
• V.3.2 (2002-08-28) BIND 9 soll doch nicht vor Angriffen schützen.

Weitere Artikel zu diesem Thema:

• [GNU/libc] Schwachstelle im Resolver-Code (2002-07-05)
  Die jüngst entdeckten Schwachstellen im DNS-Resolver betreffen auch die C-Laufzeitbibliothek des GNU-Systems. Probleme und Gegenmaßnahmen unterscheiden sich jedoch geringfügig von anderen Systemen.
• [Hintergrund] Die jüngsten Schwachstellen im Resolver-Code (2002-07-05)
  Gegenwärtig herrscht einige Verwirrung, welche Systeme in welcher Weise von den jüngst entdeckten DNS-Schwachstellen betroffen sind. Diese Mitteilung faßt die bisher öffentlich verfügbaren Daten zusammen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/