{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Linux avec Bind 8.2, 8.2-P1, 8.2.1, 8.2.2-Px</P>","closed_at":"2001-03-26","content":"## Description\n\nLe 29 janvier 2001, une nouvelle vuln\u00e9rabilit\u00e9 de Bind, appel\u00e9e\n\u00abvuln\u00e9rabilit\u00e9 TSIG\u00bb \u00e9tait annonc\u00e9e (R\u00e9f\u00e9rence CERTA-2001-AVI-010).\n\nCette vuln\u00e9rabilit\u00e9 est aujourd'hui exploit\u00e9e par un ver appel\u00e9 Li0n.\nLorsqu'une machine est compromise par ce ver, un grand nombre de\nfichiers est install\u00e9. Parmi eux se trouvent :\n\n-   Le rootkit t0rnkit (reprogrammation de du, find, ifconfig, login,\n    ls, ps, netstat, top, in.telnetd, in.fingerd, pstree);\n-   Le fichier /etc/ttyhash qui contient un mot de passe chiffr\u00e9 ;\n-   Le fichier /usr/sbin/nscd qui est en fait une version modifi\u00e9e de\n    sshd ;\n-   Le fichier randb qui scanne l'\u00e9quivalent d'une classe B \u00e0 la\n    recherche de versions de Bind vuln\u00e9rables ;\n-   Des outils de compromission automatique des machines trouv\u00e9es\n    vuln\u00e9rables par rand ;\n-   Le fichier mjy qui efface les traces dans les fichiers de logs.\n\nDe plus, le fichier /etc/host.deny est effac\u00e9, les fichiers /etc/passwd\net /etc/shadow sont envoy\u00e9s par m\u00e8l \u00e0 une adresse en Chine.  \n  \n\nEnfin, Li0n installe quelques portes d\u00e9rob\u00e9es (typiquement sur les ports\n60008/tcp, 33567/tcp et 33568/tcp, mais ces ports peuvent \u00eatre\nfacilement modifi\u00e9s).\n\n## Contournement provisoire\n\nFiltrer au niveau du garde barri\u00e8re les ports sup\u00e9rieurs \u00e0 1024 non\nexplicitement autoris\u00e9s sur les machines de votre r\u00e9seau.\n\nSans Institute propose sur son site un utilitaire permettant de d\u00e9celer\nla pr\u00e9sence de Li0n :\n\n    http://www.sans.org/y2k/lionfind-01.1.tar.gz\n\n## Solution\n\nAu cas o\u00f9 votre mise \u00e0 jour de Bind n'ai pas encore \u00e9t\u00e9 faite, reportez\nvous \u00e0 l'avis CERTA-2001-AVI-010 afin d'avoir la liste des correctifs.\n","cves":[],"links":[{"title":"Bulletin SANS :","url":"http://www.sans.prg/y2k/lion.htm"}],"reference":"CERTA-2001-ALE-003","revisions":[{"description":"version initiale.","revision_date":"2001-03-26T00:00:00.000000"}],"risks":[{"description":"Compromission du serveur de noms (dns)"}],"summary":"Un nouveau ver, tr\u00e8s proche du ver Ramen (CERTA-2001-ALE-001) , appel\u00e9\nLi0n, exploite la derni\u00e8re vuln\u00e9rabilit\u00e9 de Bind pour compromettre les\nmachines Linux.\n","title":"Prolif\u00e9ration du ver Li0n","vendor_advisories":[{"published_at":null,"title":"Bulletin du SANS Institute","url":null}]}