Ce matin, plusieurs médias spécialisés annoncent la sortie d'une multitude de patch sur un grand nombre de systèmes d'exploitation afin de corriger une faille découverte sur le protocole DNS par Dan Kaminsky (IOActive). En gros, elle permettrait de nourrir le cache d'un serveur avec des informations erronées (DNS_cache_poisoning) et d'ainsi diriger les clients vers des hôtes choisis. L'exploitation la plus évidente est bien sur l'utilisation à des fins de 'hameçonnage'.
Les corrections auraient été réalisées dans le silence afin de synchroniser la sortie des patchs de chaque OS et d'éviter que l'annonce ne puisse profiter à certains pendant le développement de correctifs. PC Inpact signale même: «Il s’agit du lancement synchronisé le plus important de l’histoire de l’informatique».
Si ça peut vous rassurer un peu, la faille ne semble pas avoir encore été exploitée… mais comme toujours dans pareil cas, rien ne permet de l'affirmer de façon certaine.
Votre distribution favorite vous propose déjà sûrement une mise à jour des paquets concernés (sur debian chez ovh c'est le cas), alors si vous avez un serveur DNS (même pour du cache), filez faire vos mises à jour et ensuite vous pourrez tranquillement venir commenter ;-)
# Selon Télématin
Posté par libre Cuauhtémoc . Évalué à 4.
D'ailleurs, ils y travaillaient depuis 6 mois.
Merci microsoft.
[^] # Re: Selon Télématin
Posté par soulflyb (Mastodon) . Évalué à 10.
Juste pour préciser.
[^] # Re: Selon Télématin
Posté par Jean-Max Reymond (site web personnel) . Évalué à 5.
# ISC
Posté par Nicolas Peninguy (site web personnel) . Évalué à 3.
ANYONE RUNNING BIND AS A CACHING RESOLVER IS AFFECTED.
Je sais pas ce que c'est caching resolver, est-ce une config spécifique ou par défaut ?
http://www.isc.org/sw/bind/bind-security.php
[^] # Re: ISC
Posté par Nicolas Peninguy (site web personnel) . Évalué à 2.
[^] # Re: ISC
Posté par lepoulpe . Évalué à 3.
C'est quand tu n'utilises pas ton serveur DNS en tant que serveur autoritaire sur une zone, mais que tu l'utilises pour résoudre les noms de domaines (typiquement, c'est celui que tu configures sur ta machine).
Il va jouer le rôle de cache, c'est à dire qu'il a garder en mémoire les résolutions effectuées pour éviter d'avoir à refaire les résolutions à chaque fois.
[^] # Re: ISC
Posté par Buf (Mastodon) . Évalué à 3.
[^] # Re: ISC
Posté par Kerro . Évalué à 2.
ANYONE RUNNING BIND AS A CACHING RESOLVER IS AFFECTED.
Ca fait quand même des années qu'on sait que ANYONE RUNNING BIND WILL HAVE TONS OF PROBLEMS :-)
# Patch debian
Posté par tfeserver tfe (site web personnel) . Évalué à 3.
http://www.debian.org/security
# Voir les corrections des failles ?
Posté par jon . Évalué à 2.
Par exemple, quand on jette un oeil sur des sites comme US-Cert, ou Secunia, on a une description de la faille, les versions des logiciels affectées, et tout.
Mais ça aurait été intéressant d'avoir des liens vers les commits qui corrigent ces problèmes (dans le cas où le repository est public bien sûr ...), chose que je ne trouve pas.
Et en cherchant sur le site officiel du projet, c'est pas évident non plus (genre sur le site d'ISC ...)
Vous avez une idée là dessus ?
[^] # Re: Voir les corrections des failles ?
Posté par pampryl . Évalué à 2.
J'ai juste ce changelog: http://packages.debian.org/changelogs/pool/main/b/bind9/curr(...) pour debian (ou http://git.debian.org/?p=users/lamont/bind9.git;a=commitdiff(...) )
[^] # Re: Voir les corrections des failles ?
Posté par Jérôme Pinot (site web personnel) . Évalué à 5.
http://ngc891.blogdns.net/pub/projects/patches/bind-9.4.2.pa(...)
http://ngc891.blogdns.net/pub/projects/patches/bind-9.4.2.pa(...) (version en couleurs)
Ce n'est, de toute évidence, pas un patch trivial. On dira également merci au ARC4 d'OpenBSD.
[^] # Re: Voir les corrections des failles ?
Posté par Yggdras . Évalué à 1.
En fait, la plus grosse part du diff est pour changer de générateur aléatoire. La partie concernant le choix du port source tient en quelques lignes.
Je suis étonné qu'une librairie de génération de nombre aléatoire ne soit pas utilisée, mais les développeurs de bind9 doivent avoir leurs raisons.
[^] # Re: Voir les corrections des failles ?
Posté par Victor STINNER (site web personnel) . Évalué à 1.
http://haypo.hachoir.org/trac/wiki/hasard
Là j'ai rajouté une dépendance sur GMP, ça peut être gênant.
# Protocole DNS ?
Posté par Pierre Carrier . Évalué à 2.
[^] # Re: Protocole DNS ?
Posté par Victor . Évalué à 4.
D'ailleurs, si j'ai bien compris, il a participé à la correction de la faille.
Et pour citer le mec qui a découvert la faille (http://www.doxpara.com/?p=1162) :
"DJB was right. All those years ago, Dan J. Bernstein was right: Source Port Randomization should be standard on every name server in production use."
Et :
"Dan Bernstein is a notably lucky programmer, and that’s no accident. The professor lives and breathes systems engineering in a way that my hackish code aspires to one day experience."
[^] # Re: Protocole DNS ?
Posté par Victor . Évalué à 2.
Je parlais de dnscache, qui est couvert par le commentaire juste en dessous :]
[^] # Re: Protocole DNS ?
Posté par M . Évalué à 3.
[^] # Re: Protocole DNS ?
Posté par M . Évalué à 2.
# dnscache :)
Posté par inico (site web personnel) . Évalué à 2.
Your name server, at 89.159.xxx.xxx, appears to be safe.
Requests seen for fc54b58b3336.toorrr.com:
89.159.117.146:62492 TXID=50132
89.159.117.146:38120 TXID=15995
89.159.117.146:20434 TXID=31648
89.159.117.146:3399 TXID=13312
89.159.117.146:63621 TXID=45975
dnscache qui fait partie de en:Djbdns fait de l'aléatoire sur le port source et le TXID.
Ce qui fait qu'il n'est pas vulnerable à cette attaque.
(A condition d'utiliser les root server IANA comme serveurs upstream)
[^] # Re: dnscache :)
Posté par jahrynx . Évalué à 10.
Tu masque partiellement l'ip dans la première ligne, tu as peur qu'on t'attaque? Alors dans ce cas, pourquoi ne pas masquer dans les 5 suivantes?
enfin, moi je dis ça, je dis rien :)
[^] # Re: dnscache :)
Posté par inico (site web personnel) . Évalué à 2.
Comme il n'y a aucun serveur dns qui ecoute sur l'interface WAN, ce n'est pas trés grave.
C'est juste que je suis sur que je vais me prendre un nmap et que ca va encore remplir les logs d'erreur http 403, Invalid user, Invalid source, etc.
# mydns ?
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 1.
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: mydns ?
Posté par atmaniak (site web personnel) . Évalué à 0.
# C'est qui cet expert ?!?
Posté par bpl . Évalué à 3.
http://www.silicon.fr/fr/news/2008/07/09/faille_dns___mauro_(...)
--
Benoit.
[^] # Re: C'est qui cet expert ?!?
Posté par pasBill pasGates . Évalué à 10.
Ah celui-la c'est un veritable champion il y a pas a dire. Expert en securite mon cul, il passerait pas les examens de 1ere annee.
[^] # Re: C'est qui cet expert ?!?
Posté par Moogle . Évalué à 4.
[^] # Re: C'est qui cet expert ?!?
Posté par Thomas Douillard . Évalué à 3.
Le jargon peut passer pour correct si t'y connais rien, mais le contenu, c'est du grand n'importe quoi.
J'ai pas lu les commentaires, mais j'imagine la levée de bouclier et la crédibilité que ça peut avoir auprès d'un décideur pressé, genre "c'est juste des fanboy qui supportent pas qu'on critique leur OS favori et qui débarquent en masse pour le faire savoir"
Un champion, ouais, reste à savoir de quoi ...
[^] # Re: C'est qui cet expert ?!?
Posté par Marc Dauwn . Évalué à 8.
Q: Quels est, à l’heure actuelle, l’état des connaissances techniques sur cette faille ?
R: Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte []. Ce fichier retrace toutes les adresses IP consultées,
Gni? J'y connais pas grand chose en réseaux mais je 'ai jamais vu l'historique des IP consultées dans mon hosts. C'est sûrement un expert, mais de quoi?
Ce type de problème [i.e accès au ficher hosts] est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.
A bon? Y a pas de droit d'accès sous Ubuntu? Il faudra le prévenir que les trolls, c'est le vendredi.
Et pour finir en beauté:
Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux, combien de temps va durer cette faille ?
Marc
[^] # Re: C'est qui cet expert ?!?
Posté par e-t172 (site web personnel) . Évalué à 10.
KAMOULOX !
[^] # Re: C'est qui cet expert ?!?
Posté par Kerro . Évalué à 5.
C'est sûrement un expert, mais de quoi?
Je crois que j'ai une idée là dessus:
http://www.linternaute.com/sortir/cinema/star-wars/incoheren(...)
D'autres articles de ce génie:
http://www.silicon.fr/fr/news/2008/06/17/le_quai_d_orsay_rec(...)
http://www.silicon.fr/fr/news/2008/06/11/des_pirates_america(...)
http://www.iscpa-paris.com/Journalisme-et-alterjournalisme-l(...)
A n'en pas douter, c'est un parfait journaliste pour Voici :-)
J'aime particulièrement "Le nouveau média, c’est Google".
[^] # Re: C'est qui cet expert ?!?
Posté par Raphaël SurcouF (site web personnel) . Évalué à 2.
« Cet article est le résultat rapide d'une conversation téléphonique avec un journaliste qui essaye de couvrir un évenement de sécurité sans pour autant avoir le niveau - et c'est normal - pour comprendre les tenants et aboutissants techniques du protocole DNS. Ceci étant dit, tous les commentateurs sous l'article sont sourcés de Linuxiens convaincus et informaticiens de leur état. Je n'ai aucun intérêt chez Microsoft, ni aucun d'aucune sorte chez qui que ce soit. Je m'en fiche complètement. Ubuntu est fantastique. Vista est fantastique. Que le meilleur gagne. Mais qu'en est-il des patches de Madame Michu ? Est-ce que l'internaute de base sait qu'il peut arriver sur un faux site bancaire sans meme s'en rendre compte ? Notre role -la communauté des informaticiens- est de sensibiliser les gens sur la sécurité informatique et c'est très complexe que de couvrir un sujet pointu en des mots simples. Donc je vous invite à concevoir puis publier un article sur "comment patcher Linux pour les nuls" et ensuite je posterai à mon tour des commentaires ;) ».
[^] # Re: C'est qui cet expert ?!?
Posté par Mathieu Marquer . Évalué à 3.
Cherchez bien : il a déjà posté un seul et unique commentaire sur dlfp en 2002...
[^] # Re: C'est qui cet expert ?!?
Posté par Jeanuel (site web personnel) . Évalué à 5.
[^] # Re: C'est qui cet expert ?!?
Posté par pampryl . Évalué à 3.
Il s'est montré très poli dans sa réponse et surtout beaucoup plus informé que l'article ne le laisse paraitre. Il participera d'ailleurs à la 'black hat' avec Dan Kaminsky..
[^] # Re: C'est qui cet expert ?!?
Posté par pasBill pasGates . Évalué à 4.
Certainement pas comme intervenant mais comme visiteur, ce que meme ta grand-mere peut faire.
La liste des presentations et des presentateurs est sur http://www.blackhat.com/html/bh-usa-08/bh-usa-08-schedule.ht(...) , son nom n'y apparait pas, et je ne suis pas etonne du tout. Rien qu'a voir son site et la maniere dont il s'exprime dessus, tu vois tout de suite que le gars n'est pas un type technique. C'est un clown qui bosse peut-etre dans une boite securite mais dans la partie management / marketing, pas dans la partie technique.
Quand a etre avec Dan Kaminsky, pour connaitre la personne (il bosse pour nous regulierement), permets moi d'en douter enormement.
[^] # Re: C'est qui cet expert ?!?
Posté par pampryl . Évalué à 2.
Ais je prétendu le contraire? Seulement, sa présence prouve un intérêt sur le sujet...
La liste des presentations et des presentateurs est sur http://www.blackhat.com/html/bh-usa-08/bh-usa-08-schedule.ht(...) , son nom n'y apparait pas, et je ne suis pas etonne du tout. Rien qu'a voir son site et la maniere dont il s'exprime dessus, tu vois tout de suite que le gars n'est pas un type technique. C'est un clown qui bosse peut-etre dans une boite securite mais dans la partie management / marketing, pas dans la partie technique.
C'est ton jugement... Mais le traiter de clown alors que silicon.fr a publié une rectification de l'interview... ça me semble un peu s'acharner sur un présumé coupable qui a des éléments en sa faveur... Sans avancer que ce soit un caïd de la sécurité et de la technique, il n'est surement pas le guignol auquel on (j'en faisais partie avant de demander d'autres éléments) croyait! Mais si tu as plus confiance en la parole sacrée un journaliste... (Je peux te conseiller des journaux très habilles dans le domaine de la transformation des faits.)
Quand a etre avec Dan Kaminsky, pour connaitre la personne (il bosse pour nous regulierement), permets moi d'en douter enormement.
Content d'apprendre que ta boite travaille un peu sur la sécurité (j'en doutais un peu ;-) ...), mais bon, jusqu'à preuve du contraire, Dan Kaminsky se trouvera à la même black hat... J'ai pas non plus dis qu'ils partageront la même chambre et s'accouderont à la même table...
Bref, tes jugements...
[^] # Re: C'est qui cet expert ?!?
Posté par briaeros007 . Évalué à 1.
Tu as "juste" dit
Il participera d'ailleurs à la 'black hat' avec Dan Kaminsky.
Alors quand on dit "participer quelquechose AVEC quelqu'un, en sachant, ca veux dire qu'on y participe en étant proche de ce quelqu'un, pas un parfait inconnue.
[^] # Re: C'est qui cet expert ?!?
Posté par pampryl . Évalué à 1.
[^] # Re: C'est qui cet expert ?!?
Posté par pasBill pasGates . Évalué à 1.
La est toute la difference entre qq'un comme Kaminsky et ce cher guignol.
Alors qu'il soit interesse par le sujet super, je connais plein de gens pas competents dans le domaine qui sont interesses par la securite, certains vont y aller simplement pour rencontrer des gens du milieu et se faire une liste de contacts, d'autre pour apprendre un peu, d'autres pour faire la fete.
Quand a le traiter de guignol, desole mais il suffit d'aller lire son blog et la maniere dont il parle de lui-meme et de securite pour se rendre compte que c'en est un.
[^] # Re: C'est qui cet expert ?!?
Posté par briaeros007 . Évalué à 2.
Tu clique sur l'icone de la barre des tache qui t'indique qu'il y a des mises à jour, tu rentre ton mot de passe root et tu vas boire un café ?
Voila je lui ai fait son howto. Il vient quand poster ses commentaires ?
[^] # Re: C'est qui cet expert ?!?
Posté par Mathieu Marquer . Évalué à 2.
[^] # Re: C'est qui cet expert ?!?
Posté par GPN . Évalué à 2.
http://www.silicon.fr/fr/news/2008/07/10/faille_dns___rectif(...)
[^] # Re: C'est qui cet expert ?!?
Posté par Epy . Évalué à 3.
Euh, c'est pas beaucoup mieux dans le genre de conneries .. Même sur Ubuntu l'utilisateur n'est pas admin par défaut ...
il faudrait créer une équipe dédiée dans cette agence qui pourrait donner l’alerte, et le status « vert-jaune-rouge »
Ah ah ah !
Si les boîtes ont des (bons) admins système, ils savent le niveau de dangerosité et ce qu'il faut faire (mettre à jour dans tous les cas) et ne vont pas attendre qu'on leur dise quoi faire.. ça c'est bon pour les utilisateurs lambda ..
Enfin quand on est obligé de republier complètement un article venant d'un "journaliste" en corrigeant quasiment tout ce qu'il a dit, c'est peut être qu'il y a un problème au niveau du "journaliste" non ?
:D
[^] # Re: C'est qui cet expert ?!?
Posté par Raphaël SurcouF (site web personnel) . Évalué à 3.
Et là, on a une preuve que les journalistes savent bien retranscrire les propos de ceux qu'ils interrogent :
http://www.silicon.fr/fr/news/2008/07/10/faille_dns__c_perri(...)
Avec le dernier paragraphe, je me demande si Mauro ne cherche pas à de faire enrôler dans cette fameuse agence (Brrr...).
# l'effet média...
Posté par brazz . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.