Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
Описание
ISC BIND - одна из наиболее популярных реализаций протокола DNS для UNIX-систем. BIND входит в состав большинства дистрибутивов UNIX. Используемая версия содержит ошибку, которая приводит к возможности сохранения в кэше полученного достоверного отрицательного ответа для какого-либо домена. В результате DNS сервер на запросы клиентов, содержащие имена узлов указанного домена, будет давать неправильный отрицательный ответ. Таким образом, клиенты будут получать неверные ответы в течение всего времени присутствия записи в кэше, которое, как известно, определяется значением TTL для указанной записи.
<b>Использование уязвимости</b>
Для использования уязвимости нарушителю необходимо иметь контролируемый им сервер DNS, который должен быть настроен таким образом, чтобы давать достоверные отрицательные ответы на запросы в отношении узлов атакуемого домена. При этом значение TTL в отправляемом ответе должно быть достаточно большим. Далее необходимо дождаться соответствующего DNS-запроса от клиента или, пользуясь, например, социальной инженерией, спровоцировать его выполнить такой запрос. Если клиент пользуется уязвимым сервером DNS, полученный ответ будет сохранён в кэше этого сервера. В течение опрелелённого периода времени, зависящего от значения TTL, клиенты будут получать неправильные ответы. Следовательно, узлы указанного домена будут недоступны по именам. Кроме того, это может оказать влияние на сервисы, работоспособность которых зависит от правильного функционирования службы доменных имён.
Использование уязвимости удаленно: да
Использование уязвимости локально: да
<b>Использование уязвимости</b>
Для использования уязвимости нарушителю необходимо иметь контролируемый им сервер DNS, который должен быть настроен таким образом, чтобы давать достоверные отрицательные ответы на запросы в отношении узлов атакуемого домена. При этом значение TTL в отправляемом ответе должно быть достаточно большим. Далее необходимо дождаться соответствующего DNS-запроса от клиента или, пользуясь, например, социальной инженерией, спровоцировать его выполнить такой запрос. Если клиент пользуется уязвимым сервером DNS, полученный ответ будет сохранён в кэше этого сервера. В течение опрелелённого периода времени, зависящего от значения TTL, клиенты будут получать неправильные ответы. Следовательно, узлы указанного домена будут недоступны по именам. Кроме того, это может оказать влияние на сервисы, работоспособность которых зависит от правильного функционирования службы доменных имён.
Использование уязвимости удаленно: да
Использование уязвимости локально: да
Как исправить
1. Для устранения уязвимости необходимо установить последнюю версию BIND, которую можно получить по адресу:
http://www.isc.org/products/BIND/.
Данной уязвимости не содержат версии 8.3.7 и выше, 8.4.3 и выше, доступные по адресам:
ftp://ftp.isc.org/isc/bind/src/8.3.7/
ftp://ftp.isc.org/isc/bind/src/8.4.3/
Однако рекомендуется использовать версию BIND 9 или выше.
2. Можно установить обновление, направленное на устранение только данной уязвимости. Для этого необходимо уточнить используемую версию BIND, а также используемую ОС. Перечень ссылок на обновления для разных версий можно найти по адресам:
http://www.kb.cert.org/vuls/id/734644
http://xforce.iss.net/xforce/xfdb/13854
3. В качестве временного решения можно ограничить число узлов, ответы от которых сохраняются в кэше уязвимого сервера DNS, настроив соответствующим образом используемый межсетевой экран.
http://www.isc.org/products/BIND/.
Данной уязвимости не содержат версии 8.3.7 и выше, 8.4.3 и выше, доступные по адресам:
ftp://ftp.isc.org/isc/bind/src/8.3.7/
ftp://ftp.isc.org/isc/bind/src/8.4.3/
Однако рекомендуется использовать версию BIND 9 или выше.
2. Можно установить обновление, направленное на устранение только данной уязвимости. Для этого необходимо уточнить используемую версию BIND, а также используемую ОС. Перечень ссылок на обновления для разных версий можно найти по адресам:
http://www.kb.cert.org/vuls/id/734644
http://xforce.iss.net/xforce/xfdb/13854
3. В качестве временного решения можно ограничить число узлов, ответы от которых сохраняются в кэше уязвимого сервера DNS, настроив соответствующим образом используемый межсетевой экран.
Ссылки
Источник: CVE
Наименование: CVE-2003-0914
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0914
Bugtraq (Bid 9114): http://www.securityfocus.com/bid/9114
Cert (VU#734644): http://www.kb.cert.org/vuls/id/734644
XF (bind-negative-cache-dos (13854)): http://xforce.iss.net/xforce/xfdb/13854
OVAL (OVAL2011) :http://oval.mitre.org/oval/definitions/data/oval2011.html
Neohapsis: http://archives.neohapsis.com/archives/bugtraq/2003-11/0320.html
Securitylab: http://www.securitylab.ru/41467.html
Сайт производителя: http://www.isc.org/products/BIND/
Наименование: CVE-2003-0914
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0914
Bugtraq (Bid 9114): http://www.securityfocus.com/bid/9114
Cert (VU#734644): http://www.kb.cert.org/vuls/id/734644
XF (bind-negative-cache-dos (13854)): http://xforce.iss.net/xforce/xfdb/13854
OVAL (OVAL2011) :http://oval.mitre.org/oval/definitions/data/oval2011.html
Neohapsis: http://archives.neohapsis.com/archives/bugtraq/2003-11/0320.html
Securitylab: http://www.securitylab.ru/41467.html
Сайт производителя: http://www.isc.org/products/BIND/
