URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 42779
[ Назад ]
Исходное сообщение
"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено opennews , 09-Июл-08 11:29 
Дэн Каминский (Dan Kaminsky) обнаружил (http://securosis.com/2008/07/08/dan-kaminsky-discovers-funda.../) критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера.
Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.


Проблеме присвоен (http://www.us-cert.gov/cas/techalerts/TA08-190B.html) максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.


Организация ISC (http://www.isc.org) уже выпустила обнов...

URL: http://www.us-cert.gov/cas/techalerts/TA08-190B.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=16872

Содержание
Сообщения в этом обсуждении
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Aleksey , 09-Июл-08 11:29 
Я правильно понимаю, что уязвимы любые DNS сервера?
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Aleksey , 09-Июл-08 11:30 
"Updates are also being released for a variety of other platforms since this is a problem with the DNS protocol itself, not a specific implementation. The good news is this is a really strange situation where the fix does not immediately reveal the vulnerability and reverse engineering isn’t directly possible."

Ага, видимо все просто плохо.

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено DAN , 11-Июл-08 19:07 
складывается впечатление что комментирование строки
// query-source address * port 53;
в bind
решает все проблемы, по кр мере если судить по http://doxpara.com/
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Аноним , 09-Июл-08 11:30 
Ой, что сейчас будет...
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено zoonman , 09-Июл-08 11:36 
port для freebsd есть?
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено k561 , 10-Июл-08 06:19 
>port для freebsd есть?

09 Jul 2008 20:02:01
   9.3.5.1

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено terminus , 09-Июл-08 11:39 
Опять? То есть, снова? То есть, как всегда, BIND...
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено nrza , 09-Июл-08 11:58 
>Опять? То есть, снова? То есть, как всегда, BIND...

написано же, баг протокола, а не bind.

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено terminus , 09-Июл-08 12:14 
Тем не менее, те кеш сервера которые используют технику пандомизации портов (PowerDNS, Unbound, djbdns) это не затрагивает...

PowerDNS признан безопасным, статус Unbound пока не установлен, но по-ходу так же не затрагивает...

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено User294 , 09-Июл-08 18:43 
>PowerDNS признан безопасным,

На вид похоже на логический баг протокола DNS который позволяет аттакеру загнать в кеши серверам фуфел.

> PowerDNS признан безопасным

А где это написано? В новости указано только то что там указанный функционал вынесен в отдельный продукт - ресольвер.Про его (не)уязвимость ровным счетом ничего внятного.

> статус Unbound пока не установлен

Во-во.

> но по-ходу так же не затрагивает...

Так по ходу или не затрагивает?Извините, баг или есть или нет.Никаких по ходу тут быть не может.Учитывая что это похоже на логический баг в протоколе DNS что-то я не разделяю вашего неуемного оптимизма.Боком потом такой оптимизм выходит :\

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено terminus , 09-Июл-08 19:13 
Про Unbound отписали в mail листе http://unbound.net/pipermail/unbound-users/2008-July/thread.... Основная мысль, что DNSSEC рулез, но и без него можно спать спокойно...

Про PowerDNS http://www.kb.cert.org/vuls/id/CRDY-7FFQZ6

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено User294 , 09-Июл-08 20:45 
>Про Unbound отписали в mail листе
>Про PowerDNS

Во, так сразу и надо говорить.

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Sem , 09-Июл-08 20:38 
Автор Unbound заявляет, что не затрагивает. Тесты подтверждают его слова.
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Аноним , 09-Июл-08 11:39 
Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears to be safe. Походу это только BIND затрагивает.
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено nrza , 09-Июл-08 12:15 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

да нет...
http://www.microsoft.com/technet/security/bulletin/ms08-037....
возможно вы просто уже обновились.

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Xavier , 09-Июл-08 13:17 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

а там верно указан адрес вашего ДНС-сервера? У меня проверилась прокся, которая с ДНС-сервером нифига не совпадает.

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено zoonman , 09-Июл-08 13:32 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

а где эту страницу найти можно?

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Vlad , 09-Июл-08 16:32 
Новость прочитать пробовали?
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено ig0r , 09-Июл-08 22:51 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

а днс ваш случайно не за натом? у меня бинд тоже так пишет когда за натом находится.

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Аноним , 09-Июл-08 11:47 
> полную защиту от данного вида атак может обеспечить только использование DNSSEC

Так и надо делать

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено User294 , 09-Июл-08 20:53 
>> полную защиту от данного вида атак может обеспечить только использование DNSSEC
>Так и надо делать

Это наверное как и IP v6 - все знают что надо и придется, но реализовывать на практике не спешат ибо кто ж хочет много нового геморроя? :)

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Осторожный , 09-Июл-08 12:15 
То-то сегодня в CentOS обновления для bind пришли
"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."
Отправлено Аноним , 09-Июл-08 12:17 
У нас forward на провайдеров, но всё равно надо обновиться.


"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."
Отправлено Lindemidux , 09-Июл-08 13:15 
И кто теперь будет рассказывать сказку от том, что МС делает все сам?
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено spamtrap , 09-Июл-08 13:10 
а ссылку на технические подробности кто-нить может дать? а то, почитав некоторые новости, складывается ощущение, что полинета в панике от новой суперугрозы, а в чём угроза - непонятно, поэтому ещё страшнее :)
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено shadowcaster , 09-Июл-08 13:37 
попробуйте начать отсюда
http://it.slashdot.org/it/08/07/08/195225.shtml
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено mirivlad , 09-Июл-08 14:24 
Хыхы))) В убунте уже в репах апдейт) Я уже скачал ^__^
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Touch , 09-Июл-08 15:03 
что-то не понял обновился до 9.3.5-P1, а всё равно на сайте пишет что уязвим :(
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено lomo , 09-Июл-08 16:31 
>что-то не понял обновился до 9.3.5-P1, а всё равно на сайте пишет
>что уязвим :(

Я вот тоже не понял.. У меня все то, что выставлено наружу - все без рекурсии.
И все равно пишет, что уязвим..

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Indigo , 10-Июл-08 11:01 
Порт каждый раз при проверке один и тот же? Поищите в конфигах строку с "query-source". Там не должно быть числа после "port", там должны быть звездочка.
Как "query-source    port *;"
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено lomo , 10-Июл-08 17:43 
>Порт каждый раз при проверке один и тот же? Поищите в конфигах
>строку с "query-source". Там не должно быть числа после "port", там
>должны быть звездочка.
>Как "query-source    port *;"

У меня вот так:
query-source address * port 53;

Почему это порочно? :)

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Indigo , 11-Июл-08 13:02 
Потому что все запросы самого сервера идут с одного порта. А значит именно на этот порт может прийти фейк-ответ, его даже вычислять не надо. И в кэше вашего сервера окажется нужная злоумышленнику запись.
"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."
Отправлено citrin , 09-Июл-08 16:41 
IMHO этот Dan Kaminsky просто удачно пропиарился.

Об этой уязвимости было известно очень давно, но на практике использовать её почти нереально. Так что поводов для беспокойства нет.

16 бит для query id это мало, но с учётом того, что за несколько сотен миллисекунд (а чаще и того меньше) нужно послать на атакуемый рекурсор N*65535 пакетов, сделать это почти нереально.

"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."
Отправлено Yuri Trofimov , 10-Июл-08 00:28 
+1
"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."
Отправлено to4me , 10-Июл-08 10:21 
+1 citrin
Может я не в теме, но мне кажется что Бернштейн давно объ этом писал, где то http://cr.yp.to/djbdns.html
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Аноним , 09-Июл-08 17:15 
Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Аноним , 09-Июл-08 18:33 
>Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
>

Ну да - а чего же сами ICS плачутЪ? Нет бы гордо заявить что всё это планктон ....

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Freedom , 09-Июл-08 19:04 
>>Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
>>
>
>Ну да - а чего же сами ICS плачутЪ? Нет бы гордо
>заявить что всё это планктон ....

они не плачут, а публично реагирует на поднятую волну. То что они знали раньше о проблеме и забивали на нее, это другой вопрос.    

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Аноним , 09-Июл-08 17:36 
Даже для жующего пива планктона тоже не плохо обновиться
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Аноним , 09-Июл-08 20:13 
>Даже для жующего пива планктона тоже не плохо обновиться

Регулярно обновляться вообще рулез

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Ононим , 09-Июл-08 20:27 
дебиановский пакет биндов уже пофиксен похоже. ни на етче ни на ленни проверка не показала уязвимость :)
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND"
Отправлено Аноним , 09-Июл-08 21:13 
Бага в BIND :D
Зато сразу повсплывали все подделки, чеснокоммуниздящие куски кода от биндов.
может разработчики просто хотели выцепить код-стилеров?;)
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено citrin , 09-Июл-08 23:01 
>Бага в BIND :D
>Зато сразу повсплывали все подделки, чеснокоммуниздящие куски кода от биндов.

Это не бага а архитектурное решение. И в том, что у многих серверов оно общее нет ничего удивительно, выбирать в данном случае приходится из двух вариантов: слать разнве запросы с одного src-port (как раньше было сделано в bind) или использовать для каждого запроса новый порт (как сделали сейчас).
Первый вариант производительнее, и поэтому популярнее.


"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено borman , 10-Июл-08 10:33 
Кстати, нелишним будет проверить конфигурационные файлы на наличие директивы query-source. Если там указан статический порт (что-то вроде query-source * port 1053), то обновления будут бесполезными, нужно ее закомментировать.

Так, на всякий случай...

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Андрей , 10-Июл-08 12:55 
После обновления BINDа, windows клиенты перестали резолвить адреса. под linux все ок, видимо все таки кривизна патча.
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Осторожный , 10-Июл-08 13:27 
Windows-клиенты не забыл обновить ? :)
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено longers , 10-Июл-08 19:26 
Ну а как же тогда вот это?
If there is a firewall between you and nameservers you want to talk to, you might need to uncomment the query-source directive below.  Previous versions of BIND always asked questions using port 53, but BIND versions 8 and later use a pseudo-random unprivileged UDP port by default.
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено max , 11-Июл-08 07:48 
по поводу bind`а во FreeBSD.
А не была-ли пофиксина эта проблема в FreeBSD-SA-07:07.bind от 2007-08-01?
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Аноним , 12-Июл-08 13:12 
Хороший вопрос. :)
"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено wintester , 12-Июл-08 17:33 
>Хороший вопрос. :)

И всем лень полезть выяснить :)


"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено Аноним , 12-Июл-08 18:56 
Я гуглил по этому поводу и нагуглил только http://webwereld.nl/comments/51828/dns-expert---te-lang-gewa...

Нидерладский язык я не очень знаю, так что не понял, что там ответили. :)

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено max , 14-Июл-08 07:45 
>>Хороший вопрос. :)
>
>И всем лень полезть выяснить :)

:)

В FreeBSD-SA-07:07.bind написано:

Problem Description
When named(8) is operating as a recursive DNS server or sending NOTIFY
requests to slave DNS servers, named(8) uses a predictable query id.

Impact
An attacker who can see the query id for some request(s) sent by named(8)
is likely to be able to perform DNS cache poisoning by predicting the
query id for other request(s).

Ежели ничё не путаю, то это оно и есть.

"Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."
Отправлено max , 14-Июл-08 08:04 
Ан нет, путаю.

Вышло уведомление FreeBSD-SA-08:06.bind от 2008-07-13

"djbdns рулит!"
Отправлено pentarh , 22-Окт-08 00:28 
Бернштайн форева ) Я всегда нос от бинда воротил
"djbdns рулит!"
Отправлено Sem , 22-Окт-08 01:05 
>Бернштайн форева ) Я всегда нос от бинда воротил

Только умер он. djbdns я имею ввиду. Не развивается нисколько.