U radu programskog paketa BIND uočene su tri sigurnosne ranjivosti koje udaljenom napadaču omogućuju zaobilaženje pojedinih ograničenja i izvođenje tzv. spoofing napada.
Paket:
BIND 9.x
Operacijski sustavi:
IBM AIX 5.x, IBM AIX 6.x
Kritičnost:
5.6
Problem:
pogreška u programskoj funkciji, pogreška u programskoj komponenti
Ranjivosti su uzrokovane neodgovarajućom provjerom povratne vrijednosti funkcije "OpenSSL DSA_verify", nepravilne provjere NSEC i NSEC3 zapisa, te neodgovarajućeg rukovanja pojedinim podacima.
Posljedica:
Napadač ih može iskoristiti za izvođenje tzv. spoofing napada te zaobilaženje pojedinih ograničenja.
Rješenje:
Korisnicima se savjetuje korištenje novih programskih rješenja.
Secunia Advisory SA46641
IBM AIX BIND Multiple Vulnerabilities
Release Date 2011-11-01
Criticality level Less criticalLess critical
Impact Spoofing
Where From remote
Authentication level Available in Customer Area
Report reliability Available in Customer Area
Solution Status Vendor Patch
Systems affected Available in Customer Area
Approve distribution Available in Customer Area
Operating System
AIX 5.x
AIX 6.x
Secunia CVSS Score Available in Customer Area
CVE Reference(s) CVE-2009-0025 CVSS available in Customer Area
CVE-2010-0097 CVSS available in Customer Area
CVE-2010-0382 CVSS available in Customer Area
Description
IBM has acknowledged some vulnerabilities in AIX, which can be exploited by malicious people to conduct spoofing attacks.
For more information:
SA33404
SA38219
The vulnerabilities are reported in versions 5.3 and 6.1.
Solution
Apply APARs IV09978 and IV09491.
Original Advisory
IBM (IV09978, IV09491):
http://www.ibm.com/support/docview.wss?uid=isg1IV09491
http://www.ibm.com/support/docview.wss?uid=isg1IV09978
Posljednje sigurnosne preporuke