Journal Faille sérieuse dans le protocole DNS

Posté par (page perso) .
Tags : aucun
0
9
juil.
2008
Ce matin, plusieurs médias spécialisés annoncent la sortie d'une multitude de patch sur un grand nombre de systèmes d'exploitation afin de corriger une faille découverte sur le protocole DNS par Dan Kaminski (IOActive). En gros, elle permettrait de nourrir le cache d'un serveur avec des informations erronées (DNS_cache_poisoning) et d'ainsi diriger les clients vers des hôtes choisis. L'exploitation la plus évidente est bien sur l'utilisation à des fins de 'hameçonnage'.

Les corrections auraient été réalisées dans le silence afin de synchroniser la sortie des patchs de chaque OS et d'éviter que l'annonce ne puisse profiter à certains pendant le développement de correctifs. PC Inpact signale même: «Il s’agit du lancement synchronisé le plus important de l’histoire de l’informatique».

Si ça peut vous rassurer un peu, la faille ne semble pas avoir encore été exploitée... mais comme toujours dans pareil cas, rien ne permet de l'affirmer de façon certaine.

Votre distribution favorite vous propose déjà sûrement une mise à jour des paquets concernés (sur debian chez ovh c'est le cas), alors si vous avez un serveur DNS (même pour du cache), filez faire vos mises à jour et ensuite vous pourrez tranquillement venir commenter ;-)
  • # Selon Télématin

    Posté par . Évalué à 4.

    C'est grâce aux chercheurs de Microsoft que la faille a été corrigé.
    D'ailleurs, ils y travaillaient depuis 6 mois.

    Merci microsoft.
    • [^] # Re: Selon Télématin

      Posté par . Évalué à 10.

      Ce qui est faux puisque c'est Dan Kaminsky, d'IO Active, qui a découvert il y a six mois cette faille qui portait sur le système de noms de domaine (DNS).

      Juste pour préciser.
  • # ISC

    Posté par (page perso) . Évalué à 3.

    D'après le site de l'ISC la correction dans Bind fait 4 lignes... et sont affectés :

    ANYONE RUNNING BIND AS A CACHING RESOLVER IS AFFECTED.

    Je sais pas ce que c'est caching resolver, est-ce une config spécifique ou par défaut ?

    http://www.isc.org/sw/bind/bind-security.php
    • [^] # Re: ISC

      Posté par (page perso) . Évalué à 2.

      Oops, pour le patch on oublie je ne regardais pas le bon :)
    • [^] # Re: ISC

      Posté par . Évalué à 3.

      Je sais pas ce que c'est caching resolver, est-ce une config spécifique ou par défaut ?

      C'est quand tu n'utilises pas ton serveur DNS en tant que serveur autoritaire sur une zone, mais que tu l'utilises pour résoudre les noms de domaines (typiquement, c'est celui que tu configures sur ta machine).

      Il va jouer le rôle de cache, c'est à dire qu'il a garder en mémoire les résolutions effectuées pour éviter d'avoir à refaire les résolutions à chaque fois.
      • [^] # Re: ISC

        Posté par . Évalué à 3.

        C'est aussi typiquement la configuration des serveurs DNS que les FAI fournissent à leurs clients.
    • [^] # Re: ISC

      Posté par (page perso) . Évalué à 2.

      ANYONE RUNNING BIND AS A CACHING RESOLVER IS AFFECTED.

      Ca fait quand même des années qu'on sait que ANYONE RUNNING BIND WILL HAVE TONS OF PROBLEMS :-)
  • # Patch debian

    Posté par (page perso) . Évalué à 3.

    Le bulletin d'alerte debian est disponible également ici
    http://www.debian.org/security
  • # Voir les corrections des failles ?

    Posté par . Évalué à 2.

    Est-ce qu'il y a un moyen de voir rapidement les patchs associés à une faille de sécurité donnée ?

    Par exemple, quand on jette un oeil sur des sites comme US-Cert, ou Secunia, on a une description de la faille, les versions des logiciels affectées, et tout.
    Mais ça aurait été intéressant d'avoir des liens vers les commits qui corrigent ces problèmes (dans le cas où le repository est public bien sûr ...), chose que je ne trouve pas.
    Et en cherchant sur le site officiel du projet, c'est pas évident non plus (genre sur le site d'ISC ...)

    Vous avez une idée là dessus ?
  • # Protocole DNS ?

    Posté par . Évalué à 2.

    Est-ce que je dois en conclure que dnsmasq est affecté ? Dieu que j'aime dnsmasq...
    • [^] # Re: Protocole DNS ?

      Posté par . Évalué à 4.

      heeeeeh non, car comme DJB est un genie, heh bin djbdns est le seul a pas être impacté.

      D'ailleurs, si j'ai bien compris, il a participé à la correction de la faille.

      Et pour citer le mec qui a découvert la faille (http://www.doxpara.com/?p=1162) :
      "DJB was right. All those years ago, Dan J. Bernstein was right: Source Port Randomization should be standard on every name server in production use."

      Et :
      "Dan Bernstein is a notably lucky programmer, and that’s no accident. The professor lives and breathes systems engineering in a way that my hackish code aspires to one day experience."
      • [^] # Re: Protocole DNS ?

        Posté par . Évalué à 2.

        La honte, j'ai lu trop vite !

        Je parlais de dnscache, qui est couvert par le commentaire juste en dessous :]
    • [^] # Re: Protocole DNS ?

      Posté par . Évalué à 3.

      va sur http://www.doxpara.com/ pour tester. Chez moi ca n'a pas l'air bon...
      • [^] # Re: Protocole DNS ?

        Posté par . Évalué à 2.

        D'un autre coté dans le test, ca a l'air le serveur dns suivant qui a l'air fautif (chez moi ceux de free). dnsmasq fait juste proxy dns.
  • # dnscache :)

    Posté par (page perso) . Évalué à 2.


    Your name server, at 89.159.xxx.xxx, appears to be safe.
    Requests seen for fc54b58b3336.toorrr.com:
    89.159.117.146:62492 TXID=50132
    89.159.117.146:38120 TXID=15995
    89.159.117.146:20434 TXID=31648
    89.159.117.146:3399 TXID=13312
    89.159.117.146:63621 TXID=45975


    dnscache qui fait partie de en:Djbdns fait de l'aléatoire sur le port source et le TXID.
    Ce qui fait qu'il n'est pas vulnerable à cette attaque.
    (A condition d'utiliser les root server IANA comme serveurs upstream)
    • [^] # Re: dnscache :)

      Posté par . Évalué à 10.

      Juste un truc:
      Tu masque partiellement l'ip dans la première ligne, tu as peur qu'on t'attaque? Alors dans ce cas, pourquoi ne pas masquer dans les 5 suivantes?
      enfin, moi je dis ça, je dis rien :)
      • [^] # Re: dnscache :)

        Posté par (page perso) . Évalué à 2.

        Juste que j'ai oublié de les enlever.
        Comme il n'y a aucun serveur dns qui ecoute sur l'interface WAN, ce n'est pas trés grave.
        C'est juste que je suis sur que je vais me prendre un nmap et que ca va encore remplir les logs d'erreur http 403, Invalid user, Invalid source, etc.
  • # mydns ?

    Posté par (page perso) . Évalué à 1.

    Est-ce que mydns est vulnérable ? Comment tester un serveur dns qui n'est pas celui que l'on utilise maintenant ?

    « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

    • [^] # Re: mydns ?

      Posté par (page perso) . Évalué à 0.

      mydns(-ng) ne fait pas office de serveur DNS recursif, et confie la gestion de cela au daemon de ton choix (via la directive recursive = ).
  • # C'est qui cet expert ?!?

    Posté par . Évalué à 3.

    • [^] # Re: C'est qui cet expert ?!?

      Posté par . Évalué à 10.

      Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte. Si l’on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System. Quand vous savez que ce fichier est facilement modifiable sous Windows XP (pas sous Vista) cela pose des questions cruciales. Ce fichier retrace toutes les adresses IP consultées, quelqu’un qui s’y introduirait aurait alors accès à une multitude de données.

      Ah celui-la c'est un veritable champion il y a pas a dire. Expert en securite mon cul, il passerait pas les examens de 1ere annee.
      • [^] # Re: C'est qui cet expert ?!?

        Posté par . Évalué à 4.

        Et c'est là qu'on se dit que Pierre Tramo n'est peut-être pas un fake, finalement :)
      • [^] # Re: C'est qui cet expert ?!?

        Posté par . Évalué à 3.

        Ce qui est désastreux c'est qu'il passe pour sérieux, qu'il serait payé par MS pour FUDer sur Linux ce serait exactement pareil, sur un site connu.

        Le jargon peut passer pour correct si t'y connais rien, mais le contenu, c'est du grand n'importe quoi.

        J'ai pas lu les commentaires, mais j'imagine la levée de bouclier et la crédibilité que ça peut avoir auprès d'un décideur pressé, genre "c'est juste des fanboy qui supportent pas qu'on critique leur OS favori et qui débarquent en masse pour le faire savoir"

        Un champion, ouais, reste à savoir de quoi ...
    • [^] # Re: C'est qui cet expert ?!?

      Posté par . Évalué à 8.

      J'adore ce mossieur:


      Q: Quels est, à l’heure actuelle, l’état des connaissances techniques sur cette faille ?
      R: Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte []. Ce fichier retrace toutes les adresses IP consultées,


      Gni? J'y connais pas grand chose en réseaux mais je 'ai jamais vu l'historique des IP consultées dans mon hosts. C'est sûrement un expert, mais de quoi?


      Ce type de problème [i.e accès au ficher hosts] est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.


      A bon? Y a pas de droit d'accès sous Ubuntu? Il faudra le prévenir que les trolls, c'est le vendredi.

      Et pour finir en beauté:

      Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux, combien de temps va durer cette faille ?

      Marc

    • [^] # Re: C'est qui cet expert ?!?

      Posté par (page perso) . Évalué à 2.

      D'un technicien dont les propos ont été déformé, amplifiés puis répétés par un journaliste incompétent :

      « Cet article est le résultat rapide d'une conversation téléphonique avec un journaliste qui essaye de couvrir un évenement de sécurité sans pour autant avoir le niveau - et c'est normal - pour comprendre les tenants et aboutissants techniques du protocole DNS. Ceci étant dit, tous les commentateurs sous l'article sont sourcés de Linuxiens convaincus et informaticiens de leur état. Je n'ai aucun intérêt chez Microsoft, ni aucun d'aucune sorte chez qui que ce soit. Je m'en fiche complètement. Ubuntu est fantastique. Vista est fantastique. Que le meilleur gagne. Mais qu'en est-il des patches de Madame Michu ? Est-ce que l'internaute de base sait qu'il peut arriver sur un faux site bancaire sans meme s'en rendre compte ? Notre role -la communauté des informaticiens- est de sensibiliser les gens sur la sécurité informatique et c'est très complexe que de couvrir un sujet pointu en des mots simples. Donc je vous invite à concevoir puis publier un article sur "comment patcher Linux pour les nuls" et ensuite je posterai à mon tour des commentaires ;) ».
      • [^] # Re: C'est qui cet expert ?!?

        Posté par . Évalué à 3.

        Sauf que le raccrochage aux branches bidon, à voir son CV (sur son magnifique site web 0.1pre-alpha http://www.netwizz.com ), ses réalisations, ses "diplômes" (y'en a pour tous les goûts), et l'excuse du journaliste incompétent : trop gros passera pas.
        Cherchez bien : il a déjà posté un seul et unique commentaire sur dlfp en 2002...
        • [^] # Re: C'est qui cet expert ?!?

          Posté par (page perso) . Évalué à 5.

          C'est pas pour de vrais, dit. C'est un fake ?
        • [^] # Re: C'est qui cet expert ?!?

          Posté par (page perso) . Évalué à 3.

          J'avais moi aussi écrit à cet personne et sa réponse me persuade que ces bétises ne sont pas de sa bouche, mais de la plume du journaliste qui a retransmis les propos. Bon c'est mon intime conviction, et il n'y a pas de preuve mais bon...

          Il s'est montré très poli dans sa réponse et surtout beaucoup plus informé que l'article ne le laisse paraitre. Il participera d'ailleurs à la 'black hat' avec Dan Kaminsky..
          • [^] # Re: C'est qui cet expert ?!?

            Posté par . Évalué à 4.

            Il s'est montré très poli dans sa réponse et surtout beaucoup plus informé que l'article ne le laisse paraitre. Il participera d'ailleurs à la 'black hat' avec Dan Kaminsky..

            Certainement pas comme intervenant mais comme visiteur, ce que meme ta grand-mere peut faire.

            La liste des presentations et des presentateurs est sur http://www.blackhat.com/html/bh-usa-08/bh-usa-08-schedule.ht(...) , son nom n'y apparait pas, et je ne suis pas etonne du tout. Rien qu'a voir son site et la maniere dont il s'exprime dessus, tu vois tout de suite que le gars n'est pas un type technique. C'est un clown qui bosse peut-etre dans une boite securite mais dans la partie management / marketing, pas dans la partie technique.

            Quand a etre avec Dan Kaminsky, pour connaitre la personne (il bosse pour nous regulierement), permets moi d'en douter enormement.
            • [^] # Re: C'est qui cet expert ?!?

              Posté par (page perso) . Évalué à 2.

              Certainement pas comme intervenant mais comme visiteur, ce que meme ta grand-mere peut faire.
              Ais je prétendu le contraire? Seulement, sa présence prouve un intérêt sur le sujet...

              La liste des presentations et des presentateurs est sur http://www.blackhat.com/html/bh-usa-08/bh-usa-08-schedule.ht(...) , son nom n'y apparait pas, et je ne suis pas etonne du tout. Rien qu'a voir son site et la maniere dont il s'exprime dessus, tu vois tout de suite que le gars n'est pas un type technique. C'est un clown qui bosse peut-etre dans une boite securite mais dans la partie management / marketing, pas dans la partie technique.
              C'est ton jugement... Mais le traiter de clown alors que silicon.fr a publié une rectification de l'interview... ça me semble un peu s'acharner sur un présumé coupable qui a des éléments en sa faveur... Sans avancer que ce soit un caïd de la sécurité et de la technique, il n'est surement pas le guignol auquel on (j'en faisais partie avant de demander d'autres éléments) croyait! Mais si tu as plus confiance en la parole sacrée un journaliste... (Je peux te conseiller des journaux très habilles dans le domaine de la transformation des faits.)

              Quand a etre avec Dan Kaminsky, pour connaitre la personne (il bosse pour nous regulierement), permets moi d'en douter enormement.
              Content d'apprendre que ta boite travaille un peu sur la sécurité (j'en doutais un peu ;-) ...), mais bon, jusqu'à preuve du contraire, Dan Kaminsky se trouvera à la même black hat... J'ai pas non plus dis qu'ils partageront la même chambre et s'accouderont à la même table...

              Bref, tes jugements...
              • [^] # Re: C'est qui cet expert ?!?

                Posté par . Évalué à 1.

                jusqu'à preuve du contraire, Dan Kaminsky se trouvera à la même black hat... J'ai pas non plus dis qu'ils partageront la même chambre et s'accouderont à la même table...

                Tu as "juste" dit
                Il participera d'ailleurs à la 'black hat' avec Dan Kaminsky.
                Alors quand on dit "participer quelquechose AVEC quelqu'un, en sachant, ca veux dire qu'on y participe en étant proche de ce quelqu'un, pas un parfait inconnue.
                • [^] # Re: C'est qui cet expert ?!?

                  Posté par (page perso) . Évalué à 1.

                  Ce que je voulais dire se limitait à signifier la participation de deux personnes à un même évènement. Qu'ils se connaissent, se croisent ou pas importe assez peu...
                  • [^] # Re: C'est qui cet expert ?!?

                    Posté par . Évalué à 1.

                    Le truc c'est que n'importe qui peut ASSISTER a BlackHat, peu de gens peuvent par contre PRESENTER a BlackHat.
                    La est toute la difference entre qq'un comme Kaminsky et ce cher guignol.
                    Alors qu'il soit interesse par le sujet super, je connais plein de gens pas competents dans le domaine qui sont interesses par la securite, certains vont y aller simplement pour rencontrer des gens du milieu et se faire une liste de contacts, d'autre pour apprendre un peu, d'autres pour faire la fete.

                    Quand a le traiter de guignol, desole mais il suffit d'aller lire son blog et la maniere dont il parle de lui-meme et de securite pour se rendre compte que c'en est un.
      • [^] # Re: C'est qui cet expert ?!?

        Posté par . Évalué à 2.

        donc je vous invite à concevoir puis publier un article sur "comment patcher Linux pour les nuls" et ensuite je posterai à mon tour des commentaires
        Tu clique sur l'icone de la barre des tache qui t'indique qu'il y a des mises à jour, tu rentre ton mot de passe root et tu vas boire un café ?
        Voila je lui ai fait son howto. Il vient quand poster ses commentaires ?
        • [^] # Re: C'est qui cet expert ?!?

          Posté par . Évalué à 2.

          J'ai essayé de faire cet "article" en commentaire directement sur silicon.fr, mais les commentaires sont modérés a priori, et ne sont pour la plupart jamais publiés...
    • [^] # Re: C'est qui cet expert ?!?

      Posté par . Évalué à 2.

      • [^] # Re: C'est qui cet expert ?!?

        Posté par (page perso) . Évalué à 3.

        Ce type de problème est -pour l’instant- maîtrisé, par le fait que l’utilisateur ne doit plus être administrateur de son poste en entreprise, mais les administrateurs des systèmes UNIX ou Windows ont la fâcheuse habitude de se connecter en root ou admin, et le danger reste toujours possible d’un exploit qui permettrait de modifier fichier «hosts » par élévation de privilèges. Dans des versions « grand public » comme Ubuntu ou Windows, les utilisateurs et les PME/TPE n’ont aucune compétence réelle sur ce type de dangers, et dépendent complètement de la sécurité de leur fournisseur Internet, ou de leur routeur d’accès ou du serveur interne de l’entreprise qui contiennent un système DNS de relais.

        Euh, c'est pas beaucoup mieux dans le genre de conneries .. Même sur Ubuntu l'utilisateur n'est pas admin par défaut ...

        il faudrait créer une équipe dédiée dans cette agence qui pourrait donner l’alerte, et le status « vert-jaune-rouge »
        Ah ah ah !
        Si les boîtes ont des (bons) admins système, ils savent le niveau de dangerosité et ce qu'il faut faire (mettre à jour dans tous les cas) et ne vont pas attendre qu'on leur dise quoi faire.. ça c'est bon pour les utilisateurs lambda ..

        Enfin quand on est obligé de republier complètement un article venant d'un "journaliste" en corrigeant quasiment tout ce qu'il a dit, c'est peut être qu'il y a un problème au niveau du "journaliste" non ?

        :D
      • [^] # Re: C'est qui cet expert ?!?

        Posté par (page perso) . Évalué à 3.

        Bonjour le rectificatif : loin de pouvoir le faire remonter dans mon estime, il s'enfonce encore davantage en persistant à parler du fichiers HOSTS de Windows comme s'il s'agissait du cache DNS...
        Et là, on a une preuve que les journalistes savent bien retranscrire les propos de ceux qu'ils interrogent :
        http://www.silicon.fr/fr/news/2008/07/10/faille_dns__c_perri(...)
        Avec le dernier paragraphe, je me demande si Mauro ne cherche pas à de faire enrôler dans cette fameuse agence (Brrr...).
  • # l'effet média...

    Posté par . Évalué à 1.

    Ce matin il y a un article assez alarmiste dans 20 minutes, le résultat bien sur c'est que les gens ne font pas la différence avec des attaques de pirates habituelles, virus et autres... D'autant que cela entretient la confusion sur ce qu'il faut faire, l'internaute lambda va vouloir mettre à jour... mais quoi bon dieu! J'ai essayé d'envoyer un autre post sur http://www.20minutes.fr/article/241593/High-Tech-Les-geants-(...) mais ça ne passe pas. C'est vrai que le métier de journaliste c'est de faire du sensationnel, mais quand même !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.