The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.07.2008 10:19  Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND

Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера. Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.

Организация ISC уже выпустила обновление BIND 9.5.0-P1, BIND 9.4.2-P1 и BIND 9.3.5-P1, а также опубликовала специальный пресс-релиз, в котором подчеркнута серьезность проблемы и необходимость скорейшего обновления. К сожалению исправление существенно понижает производительность сервера, что особенно начинает проявляться при нагрузке в 10 тыс. запросов в секунду и выше. В бета версиях 9.5.1b1/9.4.3b2 начато тестирование оптимизированного варианта исправления, который должен частично решить возникшие проблемы с производительностью. Тем не менее, полную защиту от данного вида атак может обеспечить только использование DNSSEC.

Проверить DNS сервер на уязвимость можно на данной странице. Доступность исправлений для различных платформ можно узнать здесь. Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS (резолвер выделен в отдельный продукт PowerDNS Recursor, об уязвимости которого ничего не сообщается).

  1. Главная ссылка к новости (http://www.us-cert.gov/cas/tec...)
  2. US-CERT: Multiple DNS implementations vulnerable to cache poisoning
  3. securityfocus.com: Alliance forms to fix DNS poisoning flaw
  4. ISC characterization: Query Port Randomization for BIND 9
  5. OpenNews: Вышла новая версия DNS сервера BIND с исправлением уязвимости
  6. OpenNews: Защищаем BIND 9 от "отравления кэша"
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: dns, cache, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Aleksey, 11:29, 09/07/2008 [ответить] [смотреть все]
  • +/
    Я правильно понимаю, что уязвимы любые DNS сервера?
     
     
  • 2.3, Aleksey, 11:30, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Updates are also being released for a variety of other platforms since this is ... весь текст скрыт [показать] [показать ветку]
     
  • 2.49, DAN, 19:07, 11/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    складывается впечатление что комментирование строки query-source address p... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 11:30, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Ой, что сейчас будет...
     
  • 1.4, zoonman, 11:36, 09/07/2008 [ответить] [смотреть все]  
  • +/
    port для freebsd есть?
     
     
  • 2.39, k561, 06:19, 10/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >port для freebsd есть?

    09 Jul 2008 20:02:01
       9.3.5.1

     
  • 1.5, terminus, 11:39, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Опять? То есть, снова? То есть, как всегда, BIND...
     
     
  • 2.9, nrza, 11:58, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    написано же, баг протокола, а не bind ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, terminus, 12:14, 09/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Тем не менее, те кеш сервера которые используют технику пандомизации портов Pow... весь текст скрыт [показать]
     
     
  • 4.27, User294, 18:43, 09/07/2008 [^] [ответить] [смотреть все]  
  • +/
    На вид похоже на логический баг протокола DNS который позволяет аттакеру загнать... весь текст скрыт [показать]
     
     
  • 5.29, terminus, 19:13, 09/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Про Unbound отписали в mail листе http unbound net pipermail unbound-users 200... весь текст скрыт [показать]
     
     
  • 6.33, User294, 20:45, 09/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Во, так сразу и надо говорить ... весь текст скрыт [показать]
     
  • 4.32, Sem, 20:38, 09/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Автор Unbound заявляет, что не затрагивает. Тесты подтверждают его слова.
     
  • 1.6, Аноним, 11:39, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Проверил виндовый DNS на тестовой странице Your name server, at ... весь текст скрыт [показать]
     
     
  • 2.12, nrza, 12:15, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да нет http www microsoft com technet security bulletin ms08-037 mspx возмо... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, Xavier, 13:17, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а там верно указан адрес вашего ДНС-сервера У меня проверилась прокся, которая ... весь текст скрыт [показать] [показать ветку]
     
  • 2.17, zoonman, 13:32, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а где эту страницу найти можно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Vlad, 16:32, 09/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Новость прочитать пробовали?
     
  • 2.36, ig0r, 22:51, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а днс ваш случайно не за натом у меня бинд тоже так пишет когда за натом находи... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 11:47, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Так и надо делать... весь текст скрыт [показать]
     
     
  • 2.34, User294, 20:53, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это наверное как и IP v6 - все знают что надо и придется, но реализовывать на пр... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Осторожный, 12:15, 09/07/2008 [ответить] [смотреть все]  
  • +/
    То-то сегодня в CentOS обновления для bind пришли
     
  • 1.13, Аноним, 12:17, 09/07/2008 [ответить] [смотреть все]  
  • +/
    У нас forward на провайдеров, но всё равно надо обновиться.


     
     
  • 2.15, Lindemidux, 13:15, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И кто теперь будет рассказывать сказку от том, что МС делает все сам?
     
  • 1.14, spamtrap, 13:10, 09/07/2008 [ответить] [смотреть все]  
  • +/
    а ссылку на технические подробности кто-нить может дать? а то, почитав некоторые новости, складывается ощущение, что полинета в панике от новой суперугрозы, а в чём угроза - непонятно, поэтому ещё страшнее :)
     
     
  • 2.18, shadowcaster, 13:37, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    попробуйте начать отсюда
    http://it.slashdot.org/it/08/07/08/195225.shtml
     
  • 1.19, mirivlad, 14:24, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Хыхы))) В убунте уже в репах апдейт) Я уже скачал ^__^
     
  • 1.20, Touch, 15:03, 09/07/2008 [ответить] [смотреть все]  
  • +/
    что-то не понял обновился до 9.3.5-P1, а всё равно на сайте пишет что уязвим :(
     
     
  • 2.21, lomo, 16:31, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я вот тоже не понял У меня все то, что выставлено наружу - все без рекурсии И... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Indigo, 11:01, 10/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Порт каждый раз при проверке один и тот же Поищите в конфигах строку с query-s... весь текст скрыт [показать]
     
     
  • 4.45, lomo, 17:43, 10/07/2008 [^] [ответить] [смотреть все]  
  • +/
    У меня вот так query-source address port 53 Почему это порочно ... весь текст скрыт [показать]
     
     
  • 5.48, Indigo, 13:02, 11/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Потому что все запросы самого сервера идут с одного порта А значит именно на эт... весь текст скрыт [показать]
     
  • 1.23, citrin, 16:41, 09/07/2008 [ответить] [смотреть все]  
  • +/
    IMHO этот Dan Kaminsky просто удачно пропиарился.

    Об этой уязвимости было известно очень давно, но на практике использовать её почти нереально. Так что поводов для беспокойства нет.

    16 бит для query id это мало, но с учётом того, что за несколько сотен миллисекунд (а чаще и того меньше) нужно послать на атакуемый рекурсор N*65535 пакетов, сделать это почти нереально.

     
     
  • 2.38, Yuri Trofimov, 00:28, 10/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    +1
     
  • 2.40, to4me, 10:21, 10/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    1 citrin Может я не в теме, но мне кажется что Бернштейн давно объ этом писал, ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Аноним, 17:15, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
     
     
  • 2.26, Аноним, 18:33, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну да - а чего же сами ICS плачутЪ Нет бы гордо заявить что всё это планктон ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, Freedom, 19:04, 09/07/2008 [^] [ответить] [смотреть все]  
  • +/
    они не плачут, а публично реагирует на поднятую волну То что они знали раньше ... весь текст скрыт [показать]
     
  • 1.25, Аноним, 17:36, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Даже для жующего пива планктона тоже не плохо обновиться
     
     
  • 2.30, Аноним, 20:13, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Регулярно обновляться вообще рулез... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Ононим, 20:27, 09/07/2008 [ответить] [смотреть все]  
  • +/
    дебиановский пакет биндов уже пофиксен похоже. ни на етче ни на ленни проверка не показала уязвимость :)
     
  • 1.35, Аноним, 21:13, 09/07/2008 [ответить] [смотреть все]  
  • +/
    Бага в BIND D Зато сразу повсплывали все подделки, чеснокоммуниздящие куски код... весь текст скрыт [показать]
     
     
  • 2.37, citrin, 23:01, 09/07/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это не бага а архитектурное решение И в том, что у многих серверов оно общее не... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, borman, 10:33, 10/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Кстати, нелишним будет проверить конфигурационные файлы на наличие директивы que... весь текст скрыт [показать]
     
     
  • 4.43, Андрей, 12:55, 10/07/2008 [^] [ответить] [смотреть все]  
  • +/
    После обновления BINDа, windows клиенты перестали резолвить адреса под linux вс... весь текст скрыт [показать]
     
     
  • 5.44, Осторожный, 13:27, 10/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Windows-клиенты не забыл обновить ? :)
     
  • 4.46, longers, 19:26, 10/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Ну а как же тогда вот это If there is a firewall between you and nameservers yo... весь текст скрыт [показать]
     
     
  • 5.47, max, 07:48, 11/07/2008 [^] [ответить] [смотреть все]  
  • +/
    по поводу bind а во FreeBSD А не была-ли пофиксина эта проблема в FreeBSD-SA-07... весь текст скрыт [показать]
     
     
  • 6.50, Аноним, 13:12, 12/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Хороший вопрос. :)
     
     
  • 7.51, wintester, 17:33, 12/07/2008 [^] [ответить] [смотреть все]  
  • +/
    >Хороший вопрос. :)

    И всем лень полезть выяснить :)


     
     
  • 8.52, Аноним, 18:56, 12/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Я гуглил по этому поводу и нагуглил только http webwereld nl comments 51828 dn... весь текст скрыт [показать]
     
  • 8.53, max, 07:45, 14/07/2008 [^] [ответить] [смотреть все]  
  • +/
    В FreeBSD-SA-07 07 bind написано Problem Description When named 8 is operat... весь текст скрыт [показать]
     
     
  • 9.54, max, 08:04, 14/07/2008 [^] [ответить] [смотреть все]  
  • +/
    Ан нет, путаю.

    Вышло уведомление FreeBSD-SA-08:06.bind от 2008-07-13

     
  • 1.63, pentarh, 00:28, 22/10/2008 [ответить] [смотреть все]  
  • +/
    Бернштайн форева ) Я всегда нос от бинда воротил
     
     
  • 2.64, Sem, 01:05, 22/10/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Бернштайн форева ) Я всегда нос от бинда воротил

    Только умер он. djbdns я имею ввиду. Не развивается нисколько.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor