Le Thu, 10 Jul 2008 07:55:42 +0200, Charles <[EMAIL PROTECTED]> a osé(e) écrire :
> Je suis surpris de ne pas avoir entendu parler de ça sur la liste > > http://www.isc.org/index.pl?/sw/bind/bind-security.php > http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447 > http://www.kb.cert.org/vuls/id/800113 > > Je l'ai découvert hier via la ML d'OVH (merci Octave) et ce matin sur > France Inter (sic !) mais pas ici. > > J'ai un peu honte d'être passé à côté en fait... > > Est-ce que l'impact est très exagéré ? Qu'en pensez-vous ? Salut, Alors pour faire simple, c'est une faille de conception veille comme le protocole DNS qui est utilisé régulièrement par les pirates pour faire du poisoning du cache (client ou serveur) en fonction de leurs besoins. C'est pas nouveau et le montage en épingle est un juste un coup de pub des soit disant découvreurs de la faille (mouarf !). Le seul et unique moyen de combler (au détail des failles de l'implémentation) la faille conceptuelle c'est de mettre en place un système d'authentification forte entre les serveurs et entre les clients et les serveurs. çà existe déjà vous allez me dire, en effet c'est DNSSEC mais malheureusement personne ne l'utilise ... En attendant que les gens se mettent à configurer DNSSEC sur les serveurs, que les clients se mettent à résoudre les noms avec, mettre en place une passerelle SMTP pour dérouter, stocker pour épluchage et rerouter les mails en toute transparence transitant vers les MX d'un domaine depuis un client résolvant sur un serveur de nom avec cache mis en vrac, çà me prend une demi journée à tout casser. a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D
pgpWN4bvDHXbQ.pgp
Description: PGP signature
