Le jeudi 10 juillet 2008 à 09:06 +0200, eberkut a écrit : > Surtout quand certaines personnes plutôt respectables tendait à douter > un peu de l'impact de la vulnérabilité :
Comme je l'ai écrit dans ma mise à jour (je suis un peu lent à la détente ;), le truc est très probablement dans la découverte de l'ID de transaction. Probablement avec quelque attaque qui la rend très exploitable. Ce n'est pas nouveau cependant, ça fait effectivement très longtemps qu'on en parle, mais sans attaque vraiment utilisable dans la vraie vie. > Le truc nouveau (en tout cas pour moi), c'est qu'il y a une histoire > de sélection non aléatoire de port source pour la génération de > requêtes qui semble rendre l'attaque plus facile et/ou plus dangereuse. C'est clairement un facteur d'atténuation de la faille. Il y a un bulletin qui le dit clairement, en que la réussite de l'attaque repose sur "la (mal)chance", donc une attaque statistique, et que la randomisation de ports peut l'empêcher. Mais que si on n'a pas de chance, ça peut passer quand même :) Dans mon post j'ai cité un message de DJ.Bernstein sur les chances de bruteforcer l'ID selon qu'on voit le traffic ou pas, et dans ce dernier cas, selon qu'on est en port fixe ou pas: normal colliding sniffing blind attack blind attack attack ------------ ------------ -------- nothing 1 1 1 ID (BIND) 65536 256 1 ID+port (djbdns) 4227727360 65020 1 Vu les réactions de ce matin, l'attaque sur l'ID doit *vraiment* être efficace... -- http://sid.rstack.org/ PGP KeyID: 157E98EE FingerPrint: FA62226DA9E72FA8AECAA240008B480E157E98EE >> Hi! I'm your friendly neighbourhood signature virus. >> Copy me to your signature file and help me spread! --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/