FYI & FWIW:
Les détais de la faille DNS ont été rendus publics avant l'heure, il y
a 3 jours. Vous avez dû voir les multiples articles techniques, blogs
et interviews, dont voici un échantillon :
-
http://blog.invisibledenizen.org/2008/07/kaminskys-dns-issue-accidentally-leaked.html
- http://beezari.livejournal.com/141796.html
- http://blog.wired.com/27bstroke6/2008/07/kaminsky-on-how.html
(Interview de D. Kaminsky)
- http://blog.wired.com/27bstroke6/2008/07/details-of-dns.html
Et depuis hier, c'est le code source de programmes permettant
l'exploitation sont publics :
- http://www.caughq.org/exploits/CAU-EX-2008-0002.txt
-
http://metasploit.com/dev/trac/browser/framework3/trunk/modules/auxiliary/spoof/dns/baliwicked_host.rb?rev=5579
- Quelques articles sur ces exploitations :
o http://blogs.zdnet.com/security/?p=1545
o http://blog.wired.com/27bstroke6/2008/07/dns-exploit-in.html
À mon avis, il ne serait pas étonnat d'apprendre dans les jours qui
viennent de vrais attaques à la pollution de cache chez des ISP qui
n'ont pas (encore) fait le nécessaire (patch, patch, patch !)
Mohsen.
On 10 Jul, Mohsen Souissi wrote:
| Bonjour,
|
| J'envoie ce message à titre personnel et ce message n'engage que moi
| (et donc pas mon employeur) :
|
| On 10 Jul, Nicolas Haller wrote:
| | On Thu, Jul 10, 2008 at 07:55:42AM +0200, Charles wrote:
| | > Je suis surpris de ne pas avoir entendu parler de ça sur la liste
| |
| | > http://www.isc.org/index.pl?/sw/bind/bind-security.php
| | > http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447
| | > http://www.kb.cert.org/vuls/id/800113
| |
| | > Je l'ai découvert hier via la ML d'OVH (merci Octave) et ce matin sur
| | > France Inter (sic !) mais pas ici.
| |
| | > J'ai un peu honte d'être passé à côté en fait...
| |
| | > Est-ce que l'impact est très exagéré ? Qu'en pensez-vous ?
| |
| | L'histoire de ce trou est assez atypique en fait. Il a été découvert il
| | y a quelque mois et les "fabriquants" de serveurs dns ont maintenu un
| | silence de plomb pour que tout le monde sortent son patch en synchro.
| |
| | Maintenant sur le trou, l'isc place la sévérité à low. Mais ce qui
| ^^^
|
| ==> Attention ! Je ne sais pas où vous avez trouvé cette info, mais
| moi je m'alimente à la source et je lis "Severity High" (c'est dans le
| premier URL que cous citez ci-dessus) :
|
| http://www.isc.org/index.pl?/sw/bind/bind-security.php
|
| | m'inquiète le plus c'est que le trou se trouve dans la conception même
| | du protocole et que les patch ne font que rendrent l'attaque plus
| | compliqué.
| |
| | Sur les conséquences, le trou s'applique que sur les dns resolvers. Par
| | conséquent, les serveurs les plus gênants sont les serveurs dns que les
| | isp donnent à leurs clients par exemple. Vu que les systèmes dans les
| | coeurs de nos réseaux sont servis, en général, par des machines dédiées
| | à ça en interne et ne servent pas l'exterieur, cela "protège" les
| | infrastructures je pense.
|
| ==> Attention ! Vous semblez parler des serveurs récursifs de la
| protection des serveurs récursifs "non ouverts" vs "ouverts". D'après
| http://www.kb.cert.org/vuls/id/800113 cette faille touche les serveurs
| OUVERTS et NON OUVERTS, même si la difficulté de l'attaque n'est pas
| forcément la même (un paragraphe subtile à la section "II Solution ;
| "Restrict Access" explique l'intérêt à être prudent).
|
| Pour info, l'AFNIC a relayé hier cette alerte à l'ensemble de ces
| bureaux d'enregistrement (registrars) dont une bonne partie sont des
| ISP. Vous pouvez par exemple lire :
|
http://operations.nic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html
|
| | Sur la façon dont est sorti le patch, la synchro part d'une bonne
| | intention mais il me semble que les projets des différents OS n'ont pas
| | été mis dans la confidence. Hier en quittant le boulot, FreeBSD n'avait
| | pas sorti de patch pour le BIND de son base system. Je ne connais pas la
| | situation sur les autres os/distrib.
|
| ==> Oui en effet, certains éditeurs d'OS semblent ne pas réagir à temps.
|
| | Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être
| | verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant
| | participer activement l'utilisateur! (désolé pour le trip :-)
|
| ==> Comme le sera sans doute l'IP collaboratif 2.0, à commencer par le
| BGP collaboratif 2.0 ;-)
|
| Mohsen.
| ---
| Liste de diffusion du FRnOG
| http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/