samedi 22 novembre
Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Journal : Faille sérieuse dans le protocole DNS

Posté par Ludovic Rivallain (aka Creasy) (Jabber id, page perso, ) le 09 juillet 2008
0
Ce matin, plusieurs médias spécialisés annoncent la sortie d'une multitude de patch sur un grand nombre de systèmes d'exploitation afin de corriger une faille découverte sur le protocole DNS par Dan Kaminski (IOActive). En gros, elle permettrait de nourrir le cache d'un serveur avec des informations erronées (DNS_cache_poisoning) et d'ainsi diriger les clients vers des hôtes choisis. L'exploitation la plus évidente est bien sur l'utilisation à des fins de 'hameçonnage'.

Les corrections auraient été réalisées dans le silence afin de synchroniser la sortie des patchs de chaque OS et d'éviter que l'annonce ne puisse profiter à certains pendant le développement de correctifs. PC Inpact signale même: «Il s’agit du lancement synchronisé le plus important de l’histoire de l’informatique».

Si ça peut vous rassurer un peu, la faille ne semble pas avoir encore été exploitée... mais comme toujours dans pareil cas, rien ne permet de l'affirmer de façon certaine.

Votre distribution favorite vous propose déjà sûrement une mise à jour des paquets concernés (sur debian chez ovh c'est le cas), alors si vous avez un serveur DNS (même pour du cache), filez faire vos mises à jour et ensuite vous pourrez tranquillement venir commenter ;-)

> Lire le journal (46 commentaires, moyenne: 3,3).  

Vous avez demandé le commentaire #948465.

ISC

Posté par Nicolas Peninguy (page perso, ) le 09/07/2008 à 12:19. (lien). Évalué à 3.

D'après le site de l'ISC la correction dans Bind fait 4 lignes... et sont affectés :

ANYONE RUNNING BIND AS A CACHING RESOLVER IS AFFECTED.

Je sais pas ce que c'est caching resolver, est-ce une config spécifique ou par défaut ?

http://www.isc.org/sw/bind/bind-security.php

  • [^]Re: ISC

    Posté par Nicolas Peninguy (page perso, ) le 09/07/2008 à 12:20. (lien). Évalué à 2.

    Oops, pour le patch on oublie je ne regardais pas le bon :)

    [^]Re: ISC

    Posté par lepoulpe () le 09/07/2008 à 12:37. (lien). Évalué à 3.

    Je sais pas ce que c'est caching resolver, est-ce une config spécifique ou par défaut ?

    C'est quand tu n'utilises pas ton serveur DNS en tant que serveur autoritaire sur une zone, mais que tu l'utilises pour résoudre les noms de domaines (typiquement, c'est celui que tu configures sur ta machine).

    Il va jouer le rôle de cache, c'est à dire qu'il a garder en mémoire les résolutions effectuées pour éviter d'avoir à refaire les résolutions à chaque fois.

    • [^]Re: ISC

      Posté par Laurent Buffler (Jabber id, ) le 09/07/2008 à 12:49. (lien). Évalué à 3.

      C'est aussi typiquement la configuration des serveurs DNS que les FAI fournissent à leurs clients.

    [^]Re: ISC

    Posté par Kerro () le 09/07/2008 à 19:12. (lien). Évalué à 2.

    ANYONE RUNNING BIND AS A CACHING RESOLVER IS AFFECTED.

    Ca fait quand même des années qu'on sait que ANYONE RUNNING BIND WILL HAVE TONS OF PROBLEMS :-)

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0558s (dont 0.0056 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !