The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."  
Сообщение от opennews (??) on 09-Июл-08, 11:29 
Дэн Каминский (Dan Kaminsky) обнаружил (http://securosis.com/2008/07/08/dan-kaminsky-discovers-funda.../) критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера.
Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.


Проблеме присвоен (http://www.us-cert.gov/cas/techalerts/TA08-190B.html) максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.


Организация ISC (http://www.isc.org) уже выпустила обнов...

URL: http://www.us-cert.gov/cas/techalerts/TA08-190B.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=16872

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Aleksey (??) on 09-Июл-08, 11:29 
Я правильно понимаю, что уязвимы любые DNS сервера?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Aleksey (??) on 09-Июл-08, 11:30 
"Updates are also being released for a variety of other platforms since this is a problem with the DNS protocol itself, not a specific implementation. The good news is this is a really strange situation where the fix does not immediately reveal the vulnerability and reverse engineering isn’t directly possible."

Ага, видимо все просто плохо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от DAN (??) on 11-Июл-08, 19:07 
складывается впечатление что комментирование строки
// query-source address * port 53;
в bind
решает все проблемы, по кр мере если судить по http://doxpara.com/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 11:30 
Ой, что сейчас будет...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от zoonman (ok) on 09-Июл-08, 11:36 
port для freebsd есть?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от k561 on 10-Июл-08, 06:19 
>port для freebsd есть?

09 Jul 2008 20:02:01
   9.3.5.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от terminus (ok) on 09-Июл-08, 11:39 
Опять? То есть, снова? То есть, как всегда, BIND...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от nrza on 09-Июл-08, 11:58 
>Опять? То есть, снова? То есть, как всегда, BIND...

написано же, баг протокола, а не bind.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от terminus (ok) on 09-Июл-08, 12:14 
Тем не менее, те кеш сервера которые используют технику пандомизации портов (PowerDNS, Unbound, djbdns) это не затрагивает...

PowerDNS признан безопасным, статус Unbound пока не установлен, но по-ходу так же не затрагивает...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от User294 (ok) on 09-Июл-08, 18:43 
>PowerDNS признан безопасным,

На вид похоже на логический баг протокола DNS который позволяет аттакеру загнать в кеши серверам фуфел.

> PowerDNS признан безопасным

А где это написано? В новости указано только то что там указанный функционал вынесен в отдельный продукт - ресольвер.Про его (не)уязвимость ровным счетом ничего внятного.

> статус Unbound пока не установлен

Во-во.

> но по-ходу так же не затрагивает...

Так по ходу или не затрагивает?Извините, баг или есть или нет.Никаких по ходу тут быть не может.Учитывая что это похоже на логический баг в протоколе DNS что-то я не разделяю вашего неуемного оптимизма.Боком потом такой оптимизм выходит :\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от terminus (ok) on 09-Июл-08, 19:13 
Про Unbound отписали в mail листе http://unbound.net/pipermail/unbound-users/2008-July/thread.... Основная мысль, что DNSSEC рулез, но и без него можно спать спокойно...

Про PowerDNS http://www.kb.cert.org/vuls/id/CRDY-7FFQZ6

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от User294 (ok) on 09-Июл-08, 20:45 
>Про Unbound отписали в mail листе
>Про PowerDNS

Во, так сразу и надо говорить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Sem email(ok) on 09-Июл-08, 20:38 
Автор Unbound заявляет, что не затрагивает. Тесты подтверждают его слова.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 11:39 
Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears to be safe. Походу это только BIND затрагивает.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от nrza on 09-Июл-08, 12:15 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

да нет...
http://www.microsoft.com/technet/security/bulletin/ms08-037....
возможно вы просто уже обновились.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Xavier on 09-Июл-08, 13:17 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

а там верно указан адрес вашего ДНС-сервера? У меня проверилась прокся, которая с ДНС-сервером нифига не совпадает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от zoonman (ok) on 09-Июл-08, 13:32 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

а где эту страницу найти можно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Vlad (??) on 09-Июл-08, 16:32 
Новость прочитать пробовали?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от ig0r (??) on 09-Июл-08, 22:51 
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.

а днс ваш случайно не за натом? у меня бинд тоже так пишет когда за натом находится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 11:47 
> полную защиту от данного вида атак может обеспечить только использование DNSSEC

Так и надо делать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от User294 (ok) on 09-Июл-08, 20:53 
>> полную защиту от данного вида атак может обеспечить только использование DNSSEC
>Так и надо делать

Это наверное как и IP v6 - все знают что надо и придется, но реализовывать на практике не спешат ибо кто ж хочет много нового геморроя? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Осторожный on 09-Июл-08, 12:15 
То-то сегодня в CentOS обновления для bind пришли
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."  
Сообщение от Аноним (??) on 09-Июл-08, 12:17 
У нас forward на провайдеров, но всё равно надо обновиться.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."  
Сообщение от Lindemidux email(??) on 09-Июл-08, 13:15 
И кто теперь будет рассказывать сказку от том, что МС делает все сам?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от spamtrap (ok) on 09-Июл-08, 13:10 
а ссылку на технические подробности кто-нить может дать? а то, почитав некоторые новости, складывается ощущение, что полинета в панике от новой суперугрозы, а в чём угроза - непонятно, поэтому ещё страшнее :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от shadowcaster on 09-Июл-08, 13:37 
попробуйте начать отсюда
http://it.slashdot.org/it/08/07/08/195225.shtml
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от mirivlad on 09-Июл-08, 14:24 
Хыхы))) В убунте уже в репах апдейт) Я уже скачал ^__^
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Touch on 09-Июл-08, 15:03 
что-то не понял обновился до 9.3.5-P1, а всё равно на сайте пишет что уязвим :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от lomo on 09-Июл-08, 16:31 
>что-то не понял обновился до 9.3.5-P1, а всё равно на сайте пишет
>что уязвим :(

Я вот тоже не понял.. У меня все то, что выставлено наружу - все без рекурсии.
И все равно пишет, что уязвим..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Indigo email(??) on 10-Июл-08, 11:01 
Порт каждый раз при проверке один и тот же? Поищите в конфигах строку с "query-source". Там не должно быть числа после "port", там должны быть звездочка.
Как "query-source    port *;"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от lomo on 10-Июл-08, 17:43 
>Порт каждый раз при проверке один и тот же? Поищите в конфигах
>строку с "query-source". Там не должно быть числа после "port", там
>должны быть звездочка.
>Как "query-source    port *;"

У меня вот так:
query-source address * port 53;

Почему это порочно? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Indigo email(??) on 11-Июл-08, 13:02 
Потому что все запросы самого сервера идут с одного порта. А значит именно на этот порт может прийти фейк-ответ, его даже вычислять не надо. И в кэше вашего сервера окажется нужная злоумышленнику запись.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."  
Сообщение от citrin email(??) on 09-Июл-08, 16:41 
IMHO этот Dan Kaminsky просто удачно пропиарился.

Об этой уязвимости было известно очень давно, но на практике использовать её почти нереально. Так что поводов для беспокойства нет.

16 бит для query id это мало, но с учётом того, что за несколько сотен миллисекунд (а чаще и того меньше) нужно послать на атакуемый рекурсор N*65535 пакетов, сделать это почти нереально.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."  
Сообщение от Yuri Trofimov on 10-Июл-08, 00:28 
+1
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется ср..."  
Сообщение от to4me on 10-Июл-08, 10:21 
+1 citrin
Может я не в теме, но мне кажется что Бернштейн давно объ этом писал, где то http://cr.yp.to/djbdns.html
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 17:15 
Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 18:33 
>Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
>

Ну да - а чего же сами ICS плачутЪ? Нет бы гордо заявить что всё это планктон ....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Freedom email on 09-Июл-08, 19:04 
>>Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
>>
>
>Ну да - а чего же сами ICS плачутЪ? Нет бы гордо
>заявить что всё это планктон ....

они не плачут, а публично реагирует на поднятую волну. То что они знали раньше о проблеме и забивали на нее, это другой вопрос.    

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 17:36 
Даже для жующего пива планктона тоже не плохо обновиться
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 20:13 
>Даже для жующего пива планктона тоже не плохо обновиться

Регулярно обновляться вообще рулез

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Ононим on 09-Июл-08, 20:27 
дебиановский пакет биндов уже пофиксен похоже. ни на етче ни на ленни проверка не показала уязвимость :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 09-Июл-08, 21:13 
Бага в BIND :D
Зато сразу повсплывали все подделки, чеснокоммуниздящие куски кода от биндов.
может разработчики просто хотели выцепить код-стилеров?;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от citrin email(??) on 09-Июл-08, 23:01 
>Бага в BIND :D
>Зато сразу повсплывали все подделки, чеснокоммуниздящие куски кода от биндов.

Это не бага а архитектурное решение. И в том, что у многих серверов оно общее нет ничего удивительно, выбирать в данном случае приходится из двух вариантов: слать разнве запросы с одного src-port (как раньше было сделано в bind) или использовать для каждого запроса новый порт (как сделали сейчас).
Первый вариант производительнее, и поэтому популярнее.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от borman on 10-Июл-08, 10:33 
Кстати, нелишним будет проверить конфигурационные файлы на наличие директивы query-source. Если там указан статический порт (что-то вроде query-source * port 1053), то обновления будут бесполезными, нужно ее закомментировать.

Так, на всякий случай...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Андрей (??) on 10-Июл-08, 12:55 
После обновления BINDа, windows клиенты перестали резолвить адреса. под linux все ок, видимо все таки кривизна патча.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Осторожный on 10-Июл-08, 13:27 
Windows-клиенты не забыл обновить ? :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от longers (??) on 10-Июл-08, 19:26 
Ну а как же тогда вот это?
If there is a firewall between you and nameservers you want to talk to, you might need to uncomment the query-source directive below.  Previous versions of BIND always asked questions using port 53, but BIND versions 8 and later use a pseudo-random unprivileged UDP port by default.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от max (??) on 11-Июл-08, 07:48 
по поводу bind`а во FreeBSD.
А не была-ли пофиксина эта проблема в FreeBSD-SA-07:07.bind от 2007-08-01?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 12-Июл-08, 13:12 
Хороший вопрос. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от wintester (ok) on 12-Июл-08, 17:33 
>Хороший вопрос. :)

И всем лень полезть выяснить :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от Аноним (??) on 12-Июл-08, 18:56 
Я гуглил по этому поводу и нагуглил только http://webwereld.nl/comments/51828/dns-expert---te-lang-gewa...

Нидерладский язык я не очень знаю, так что не понял, что там ответили. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от max (??) on 14-Июл-08, 07:45 
>>Хороший вопрос. :)
>
>И всем лень полезть выяснить :)

:)

В FreeBSD-SA-07:07.bind написано:

Problem Description
When named(8) is operating as a recursive DNS server or sending NOTIFY
requests to slave DNS servers, named(8) uses a predictable query id.

Impact
An attacker who can see the query id for some request(s) sent by named(8)
is likely to be able to perform DNS cache poisoning by predicting the
query id for other request(s).

Ежели ничё не путаю, то это оно и есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Фундаментальная уязвимость в DNS. Рекомендуется срочно обнов..."  
Сообщение от max (??) on 14-Июл-08, 08:04 
Ан нет, путаю.

Вышло уведомление FreeBSD-SA-08:06.bind от 2008-07-13

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "djbdns рулит!"  
Сообщение от pentarh email(??) on 22-Окт-08, 00:28 
Бернштайн форева ) Я всегда нос от бинда воротил
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "djbdns рулит!"  
Сообщение от Sem email(ok) on 22-Окт-08, 01:05 
>Бернштайн форева ) Я всегда нос от бинда воротил

Только умер он. djbdns я имею ввиду. Не развивается нисколько.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру