Le jeudi 10 juillet 2008 à 09:06 +0200, eberkut a écrit :
> Surtout quand certaines personnes plutôt respectables tendait à douter
> un peu de l'impact de la vulnérabilité :
Comme je l'ai écrit dans ma mise à jour (je suis un peu lent à la
détente ;), le truc est très probablement dans la découverte de l'ID de
transaction. Probablement avec quelque attaque qui la rend très
exploitable. Ce n'est pas nouveau cependant, ça fait effectivement très
longtemps qu'on en parle, mais sans attaque vraiment utilisable dans la
vraie vie.
> Le truc nouveau (en tout cas pour moi), c'est qu'il y a une histoire
> de sélection non aléatoire de port source pour la génération de
> requêtes qui semble rendre l'attaque plus facile et/ou plus dangereuse.
C'est clairement un facteur d'atténuation de la faille. Il y a un
bulletin qui le dit clairement, en que la réussite de l'attaque repose
sur "la (mal)chance", donc une attaque statistique, et que la
randomisation de ports peut l'empêcher. Mais que si on n'a pas de
chance, ça peut passer quand même :)
Dans mon post j'ai cité un message de DJ.Bernstein sur les chances de
bruteforcer l'ID selon qu'on voit le traffic ou pas, et dans ce dernier
cas, selon qu'on est en port fixe ou pas:
normal colliding sniffing
blind attack blind attack attack
------------ ------------ --------
nothing 1 1 1
ID (BIND) 65536 256 1
ID+port (djbdns) 4227727360 65020 1
Vu les réactions de ce matin, l'attaque sur l'ID doit *vraiment* être
efficace...
--
http://sid.rstack.org/
PGP KeyID: 157E98EE FingerPrint: FA62226DA9E72FA8AECAA240008B480E157E98EE
>> Hi! I'm your friendly neighbourhood signature virus.
>> Copy me to your signature file and help me spread!
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
