Algunas librerías de resolución de peticiones DNS contienen
desbordamientos de búfer que pueden permitir, bajo determinadas
circunstancias, que un atacante ejecute código arbitrario en una máquina
remota, con los privilegios del proceso que realiza la petición DNS.
«Domain Name System» (DNS) es una tecnología Internet cuyo principal uso
es traducir nombres de dominio (como «www.hispasec.com», por ejemplo) a
direcciones IP y viceversa. Se trata de un protocolo básico de Internet,
casi tan importante como el propio IP.
Cuando un programa desea realizar una resolución de DNS, típicamente,
invoca una librería externa que abstrae a la aplicación de sus detalles
internos de funcionamiento, «sockets», temporizaciones, reintentos, etc.
Algunas de esas librerías contienen desbordamientos de búfer que pueden
ser utilizados por un atacante remoto para matar el proceso que realiza
la petición o, con suerte, ejecutar código arbitrario en la máquina.
Las vulnerabilidades afectan a:
– Librería «libbind» del BIND de ISC (el servidor de nombres más popular
del mundo).
– Librería «libc» de las distribuciones *BSD.
Conjuntamente, ambas vulnerabilidades cubren prácticamente todo el
ecosistema Unix, tanto sistemas «Open Source», como UNIX comerciales
como Solaris.
Típicamente es necesario que el atacante disponga de un servidor de DNS
válido en Internet, pero eso no es obstáculo en la práctica, ya que
registrar un dominio es cuestión de horas y de menos de 50 ?. También se
puede realizar el ataque desde un servidor DNS comprometido.
Ambas organizaciones están distribuyendo ya versiones actualizadas de
sus librerías de resolución de nombres. Resulta necesario, pues: a)
instalar las actualizaciones, b) reiniciar las aplicaciones que utilicen
las librerías de forma dinámica, c) reenlazar las aplicaciones que
utilicen las librerías de forma estática.
En el caso de BIND, la vulnerabilidad afecta a todas las versiones
previas al BIND 9. Se recomienda actualizar a BIND 9.2.1, y no instalar
las librerías de compatibilidad BIND 8 (no se instalan por defecto).
Es de destacar que, dada las características de esta vulnerabilidad,
puede atravesar multitud de cortafuegos del mercado, por lo que
posibilita atacar máquinas, a priori, protegidas mediante medidas
perimetrales clásicas.
jcea@hispasec.com
Más información:
CERT® Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver
Libraries
http://www.cert.org/advisories/CA-2002-19.html
Vulnerability Note VU#803539
Multiple vendors’ Domain Name System (DNS) stub resolvers vulnerable to
buffer overflow
http://www.kb.cert.org/vuls/id/803539
Buffer Overflow en Múltiples Bibliotecas de Resolución de DNS
http://www.unam-cert.unam.mx/Boletines/Boletines2002/boletin-UNAM-CERT-2002-019.html
Internet Software Consortium – BIND
http://www.isc.org/products/BIND/bind8.html
Internet Software Consortium – BIND Vulnerabilities
http://www.isc.org/products/BIND/bind-security.html
buffer overrun in libc/libresolv DNS resolver
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-006.txt.asc
Deja una respuesta