Frissítve: Dan Kaminsky nagyszámú DNS implementációt érintő, kritikus problémát fedezett fel

Bug

Dan Kaminsky olyan problémát fedezett fel a DNS dizájnjában, amely "cache poisoning" típusú támadásra adhat alkalmat. A hibáról a US-CERT a Vulnerability Note VU#800113 bejegyzésben tesz említést, miközben az érintett gyártók a javított DNS szoftverek koordinált kiadására készülnek (illetve mivel a bejelentés tegnapi, már meg is kezdhették). A szakember a hibát az év korábbi szakaszában fedezte fel és azóta nagyszámú gyártóval együttműködve készült a javított programok egyidejű, összehangolt kiadására. A probléma nem csak a szervereket, hanem a klienseket is érinti. "A probléma rendkívül komoly, az összes DNS szervert javítani kellene, amilyen gyorsan csak lehetséges. [...] a probléma magával a DNS protokollal van, nem meghatározott implementációval. A jó hír, hogy ez egy olyan igazán szokatlan helyzet, mikoris a javítás nem fedi fel azonnal a sebezhetőséget és a visszafejtés közvetlenül nem lehetséges."

Frissítve: az eddigi ismeretek alapján érintett DNS megoldások listája megtalálható itt.

( Nyosigomboc v | 2008. 07. 09., sze – 13:37 )

Ubiban ma frissult a bind9, szoval mar javitottak. Viszont a kod valtozasbol visszafejtheto a hiba, ami a meg javitatlan gepeket sebezhetove teheti.

----
Be nice to America. Or we'll bring democracy to your country.
honlap készítés

( uid_228 | 2008. 07. 09., sze – 15:35 )

Mostantól kezdve senki sem tudhatja biztosan, hogy a következő kattintás után nem a Goatse jön-e szembe. :)

--
Sokan nincsenek tudatában annak, / hogy egyszer mindenki meghal. / Akik ráébrednek erre, / azonnal abbahagyják az ellenségeskedést.

tapasztalt trollok tudjak mar, hogy kattintas elott egy preview.-t kell irni a cim ele :)

Preview of TinyURL.com/3cmfdy
This TinyURL redirects to:
http://youtube.com/watch?v=eBGIQ7ZuuiU

--
“A well placed underscore makes the difference between a s_exchange and a sex_change”
— 8048 Users Manual, Intel 1977.

( sj | 2008. 07. 09., sze – 15:56 )

Aligha az _osszes_ implementaciot erinto bug. A cert bejelentes szerint noha nem "tul secure" a dns protokoll, de a 16-bites cimter elegendo kellene legyen. Hogy a nulla valasz mellett elkuldott extra RR-ekkel a bind mit csinal, khmm, az o baja...

ASK Me No Questions, I'll Tell You No Lies

( gee v | 2008. 07. 09., sze – 16:47 )

Es akkor most pl. djbdns erintett vagy nem?

G

( Vladi | 2008. 07. 09., sze – 17:29 )

Your name server, at számsor:), appears to be safe
Fedora 9

--
Fedora is a cutting edge distro that tests new and bleeding edge software.

( mcray | 2008. 07. 10., cs – 10:25 )

Az indexen is érdemes elolvasni a hírt :D. Jóságos microsoft mint főbakter máris segít ezen a világméretű problémán. Marketingnek mindenesetre kiváló az ilyen cikk.

( naffeju | 2008. 07. 10., cs – 11:11 )

valaki elmagyarázhatná, hogy ezt a _triviális_ támadási felületet hogy-hogy most vették észre, és miért a több évtizede ismert, egyébként valóban nem biztonságos protokollra kenik a slendrián implementációk hibáját?

nem értem az egészben az újdonságot.

---------------
mpu.buzz.hu