Alert GCSA-09002 - Vulnerabilita' in ISC BIND
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-09002
Data : 08 Gennaio 2009
Titolo : Vulnerabilita' in ISC BIND
*****************************************************************************
- - Descrizione del problema:
E' stata riscontrata una vulnerabilita' in ISC BIND che potrebbe essere
sfruttata per condurre attacchi di tipo spoofing.
La vulnerabilita' e' causata da alcune funzioni ISC BIND che non verificano
correttamente i valori delle funzioni OpenSSL "EVP_VerifyFinal()" e "DSA_do_verify()",
durante la validazione della firma di chiavi DSA e NSEC3DSA.
Tale vulnerabilita' potrebbe essere sfruttata attraverso l'invio di risposte spoofate
da zone che usano chiavi DSA o NSEC3DSA.
Per sfruttare la vulnerabilita' e' necessario che la zona utilizzi algoritmi DSA o NSEC3DSA.
- - Piattaforme e Software interessati:
* BIND 9.0 (tutte le versioni)
* BIND 9.1 (tutte le versioni)
* BIND 9.2 (tutte le versioni)
* BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4, 9.3.5, 9.3.6
* BIND 9.4.0, 9.4.1, 9.4.2, 9.4.3
* BIND 9.5.0, 9.5.1
* BIND 9.6.0
- - Impatto:
Spoofing
- - Soluzione:
Aggiornare alle versioni 9.3.6-P1, 9.4.3-P1, 9.5.1-P1, o 9.6.0-P1 :
https://www.isc.org/downloadables/11
Come workaround, il venditore raccomanda di disabilitare gli algoritmi DSA e
NSEC3DSA.
- - Riferimenti:
ISC:
https://www.isc.org/node/373
Secunia:
http://secunia.com/advisories/33404/
VuPen:
http://www.vupen.com/english/advisories/2009/0043
SANS:
http://isc.sans.org/diary.html?storyid=5641
OpenSSL (SA33338):
http://secunia.com/advisories/33338/
Mitre's CVE ID:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0025
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSWcbhPOB+SpikaiRAQLIIQQAo6ccQWWOYGiX03nWGZH+RVvSuiWMFJhz
99SolYq2WuO2U4eyHwKwr2v8fq+ssMfP+jYw8IYAS+2kvd2gmLLuy4FjNi/cgx0a
5PrRHBhuscKAmmQ9kIAPA2voMLGY8PlTV76012vk7HJXWyyZ+RAUKhNf6f/V7MdW
mfgIhmMaf1E=
=G2/b
-----END PGP SIGNATURE-----
Hash: SHA1
*****************************************************************************
Alert ID : GCSA-09002
Data : 08 Gennaio 2009
Titolo : Vulnerabilita' in ISC BIND
*****************************************************************************
- - Descrizione del problema:
E' stata riscontrata una vulnerabilita' in ISC BIND che potrebbe essere
sfruttata per condurre attacchi di tipo spoofing.
La vulnerabilita' e' causata da alcune funzioni ISC BIND che non verificano
correttamente i valori delle funzioni OpenSSL "EVP_VerifyFinal()" e "DSA_do_verify()",
durante la validazione della firma di chiavi DSA e NSEC3DSA.
Tale vulnerabilita' potrebbe essere sfruttata attraverso l'invio di risposte spoofate
da zone che usano chiavi DSA o NSEC3DSA.
Per sfruttare la vulnerabilita' e' necessario che la zona utilizzi algoritmi DSA o NSEC3DSA.
- - Piattaforme e Software interessati:
* BIND 9.0 (tutte le versioni)
* BIND 9.1 (tutte le versioni)
* BIND 9.2 (tutte le versioni)
* BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4, 9.3.5, 9.3.6
* BIND 9.4.0, 9.4.1, 9.4.2, 9.4.3
* BIND 9.5.0, 9.5.1
* BIND 9.6.0
- - Impatto:
Spoofing
- - Soluzione:
Aggiornare alle versioni 9.3.6-P1, 9.4.3-P1, 9.5.1-P1, o 9.6.0-P1 :
https://www.isc.org/downloadables/11
Come workaround, il venditore raccomanda di disabilitare gli algoritmi DSA e
NSEC3DSA.
- - Riferimenti:
ISC:
https://www.isc.org/node/373
Secunia:
http://secunia.com/advisories/33404/
VuPen:
http://www.vupen.com/english/advisories/2009/0043
SANS:
http://isc.sans.org/diary.html?storyid=5641
OpenSSL (SA33338):
http://secunia.com/advisories/33338/
Mitre's CVE ID:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0025
-----BEGIN PGP SIGNATURE-----
iQCVAwUBSWcbhPOB+SpikaiRAQLIIQQAo6ccQWWOYGiX03nWGZH+RVvSuiWMFJhz
99SolYq2WuO2U4eyHwKwr2v8fq+ssMfP+jYw8IYAS+2kvd2gmLLuy4FjNi/cgx0a
5PrRHBhuscKAmmQ9kIAPA2voMLGY8PlTV76012vk7HJXWyyZ+RAUKhNf6f/V7MdW
mfgIhmMaf1E=
=G2/b
-----END PGP SIGNATURE-----