Miembros de
Boletines de Vulnerabilidades |
Desbordamiento de búfer en ISC BIND |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Experto |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | UNIX |
| Software afectado |
BIND 8 (todas las versiones) BIND 9.0 (todas las versiones) BIND 9.1 (todas las versiones) BIND 9.2 (todas las versiones) BIND 9.3 < 9.3.5 BIND 9.4 < 9.4.3 BIND 9.5 < 9.5.0b2 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de tipo desbordamiento de búfer en ISC BIND 8, 9.0, 9.1, 9.2, 9.3 versiones anteriores a la 9.3.5, 9.4 versiones anteriores a la 9.4.3 y 9.5 versiones anteriores a la 9.5.0b2. La vulnerabilidad reside en un error en la comprobación de los límites en la función inet_network(). Un atacante remoto podría causar una denegación de servicio y posiblemente ejecutar código arbitrario mediante una entrada especialmente diseñada. |
|
Solución |
|
|
Actualización de software ISC BIND Actualizar a versiones 9.3.5, 9.4.3, 9.5.0b2 o aplicar los parches correspondientes de cada versión http://www.isc.org/index.pl?/sw/bind/bind-security.php FreeBSD Actualiza FreeBSD a 7.0-PRERELEASE, o 6-STABLE, o 7.0-PRERELEASE, o a RELENG_7_0, RELENG_6_3, RELENG_6_2 con una fecha posterior a la fecha de correción de la vulnerabilidad. FreeBSD 7.0, 6.3, o 6.2 - Aplica los siguientes parches http://security.FreeBSD.org/patches/SA-08:02/libc.patch fetch http://security.FreeBSD.org/patches/SA-08:02/libc.patch.asc IBM AIX 5.2.0 - APAR IZ15564 (Disponible el 05/07/08) http://www.ibm.com/support/docview.wss?uid=isg1IZ15564 AIX 5.3.0 - APAR IZ15567 (Disponible el 05/28/08) http://www.ibm.com/support/docview.wss?uid=isg1IZ15567 AIX 5.3.7 - APAR IZ15566 (Disponible el 05/28/08) http://www.ibm.com/support/docview.wss?uid=isg1IZ15566 AIX 6.1.0 - APAR IZ15565 (Disponible el 04/09/08) http://www.ibm.com/support/docview.wss?uid=isg1IZ15565 Red Hat (RHSA-2008:0300-16) RHEL Desktop Workstation (v. 5 cliente) Red Hat Enterprise Linux (v. 5 servidor) Red Hat Enterprise Linux Desktop (v. 5 cliente) https://rhn.redhat.com/ Sun (238493) Solaris 8 para libresolv(3LIB) / SPARC / patch 109326-21 Solaris 8 para libsocket(3LIB) / SPARC / patch 111327-06 Solaris 8 para SunOS 4.x Binary Compatibility Libraries / SPARC / patch 109152-03 Solaris 9 para SunOS 4.x Binary Compatibility Libraries / SPARC / patch 112874-45 Solaris 10 para SunOS 4.x Binary Compatibility Libraries / SPARC / patch 136892-01 OpenSolaris build snv_88 para SunOS 4.x Binary Compatibility Libraries (6653976) / SPARC Solaris 8 para libresolv(3LIB) / X86 / patch 109327-21 Solaris 8 para libsocket(3LIB) / X86 / patch 111328-05 http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2008-0122 |
| BID | 27283 |
Recursos adicionales |
|
|
ISC - BIND: buffer overflow in inet_network() http://www.isc.org/index.pl?/sw/bind/bind-security.php FreeBSD Security Advisory (FreeBSD-SA-08:02.libc) http://security.freebsd.org/advisories/FreeBSD-SA-08:02.libc.asc Red Hat - Bugzilla Bug (429149) https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2008-0122 Red Hat Security Advisory (RHSA-2008:0300-16) https://rhn.redhat.com/errata/RHSA-2008-0300.html IBM Security Advisory http://www14.software.ibm.com/webapp/set2/subscriptions/ijhifoeblist?mode=7&heading=AIX61&path=/200803/SECURITY/20080311/datafile142138 Sun Alert Notification (238493) http://sunsolve.sun.com/search/document.do?assetkey=1-66-238493-1 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2008-01-25 |
| 1.1 | Aviso emitido por IBM | 2008-02-29 |
| 1.2 | Aviso emitido por Red Hat (RHSA-2008:0300-16) | 2008-05-26 |
| 1.3 | Aviso emitido por Sun (238493) | 2008-06-05 |
| 1.4 | Aviso actualizado por Sun (238493) | 2008-06-18 |