DNS, DNS, DNS...

Par Sid, mercredi 9 juillet 2008 à 12:33 :: (In)Sécurité
Lu 12073 fois :: #283 :: rss :: atom :: English

Mars Attacks

ermaine, sort le deux-coups, le riz, les boites de cassoulet, les bouteilles d'eau et les sacs de sable, l'Internet mondial est en train de sombrer. À pic. Façon Titanic. Et oui chers lecteurs, DNS vient de prendre un coup de douze. Un autre. Et probablement pas le dernier.

J'ai l'air taquin comme ça, mais ne vous y trompez pas. Vu comment les éditeurs se sont bougés le cul pour corriger le problème, il y a bien quelque chose qui ne tourne pas rond. C'est clair. Mais d'ici à sombrer dans l'alarmiste crétin, voire un crétinisme alarmant, il y a un pas que d'aucuns devraient peut-être se garder de franchir...

Dernière update, promis (24/07/2008 - 18:21) : ma théorie personnelle sur le tout dernier pas de l'attaque, la corruption du cache, et qui s'avère être la bonne.

Nouvelle update (10/07/2008 - 08:32) : Thomas Ptacek et Dino Dai Zovi publient chacun un nouveau billet suite aux informations que Dan Kaminsky leur a communiquées. Si je ne connais pas Ptacek, j'ai eu l'occasion de discuter un peu avec Dino, et je dois avouer que s'il nous dit que c'est sérieux, je lui fait confiance. Donc c'est sérieux. Et il faut patcher, mais ça, vous le saviez déjà, puisque comme je le disais en fin de billet, ce n'est pas quand les choses deviennent graves qu'il faut agir :)

Je ne sombre pas non plus dans l'alarmisme. Vous trouverez dans les avis les mises à jour nécessaires, qui portent pour l'essentiel sur la randomisation du port source des transactions émises par le resolver. Vous pouvez aller jeter un coup d'œil chez Bruno pour un executive summary.

Côté exploitation, comme je l'écrivais plus tôt en commentaire, je reste sur mon scénario. La grosse faille réside dans la possibilité de brute-forcer l'ID de transaction, probablement en exploitant cette histoire requêtes multiples. Le port source fixe vous évite quant à lui d'avoir à deviner aussi ce paramètre, ce qui compliquerait pas mal les choses. Je pense qu'il s'agit donc d'émettre des requêtes à destination d'un domaine arbitraire contrôlé pour récupérer de quoi modéliser le générateur d'ID. Ensuite, vous passez au spoof proprement dit en passant sur des requêtes à destination d'un vrai domaine, en renvoyant les réponses adhoc, en masse probablement. Si une passe, vous avez pollué le cache. Bingo. Classique dira-t-on, mais l'avancement doit résider dans des chances de réussites très fortes.

Et non, ça ne change pas mon avis quant aux articles cités précédemment...

Vala pour ce matin ;)

Parce que bon, soyons bons joueurs, ce n'est pas parce que c'est Dan Kaminsky, le grand et vénéré Deputy Dan, qui a levé le lièvre qu'il faut douter du truc. On pourra certes se permettre de douter de l'impact annoncé, comme toujours, mais je pense qu'il y a effectivement quelque souci à se faire. Ma position est cependant plus proche de celle adoptée par Thomas Ptacek dans son dernier billet et qui diffère pas mal du buzzz naissant : pas grand chose de transcendant au niveau de la nouveauté technologique, mais un bon assemblage de vieux crus.

Le problème essentiel, c'est que pour le moment, on n'a aucune information technique sur cette faille. Juste des pistes de réflexion, et donc beaucoup de conjectures. Ce qu'on peut déduire des avis, c'est que nous avons trois problèmes principaux :

un manque d'entropie sur certaines implémentations dans la génération de l'identifiant de transaction codé sur 16 bits, ce qu'on savait déjà ;
un manque de randomisation dans la sélection du port source pour les requêtes DNS, mais connu encore une fois, et avec seulement 16 bits d'entropie^[1] ;
une technique pour augmenter les probabilités de réussite de l'attaque, connue également.

Si des paris devaient être pris, je pencherais donc pour un savant mélange des trois. Une pincée de bruteforce de l'ID en aveugle, avec un soupçon de requêtes RR multiple, le tout enfourné sur un serveur dont le port source est fixe, ou facile à trouver. Ce dernier point est d'ailleurs manifestement un facteur clé. Lorsqu'on lit les advisories^[2], il apparaît que la randomisation du port source soit un facteur d'atténuation important de cette faille. en ce qu'il évite de se taper 16 bits de plus...

Toujours est-il que pour le moment, l'auteur ne semble vouloir laisser filtrer aucun détail, pour sauver l'Internet de la catastrophe nous explique-t-il... Jusqu'à BlackHat, bien évidemment... Toujours est-il que si paris il y a, ils porteront plus sur le tee-shirt qu'il portera lors de son talk que sur le contenu réel de cette faille.

Voilà en tout cas matière à remettre au goût du jour quelques pratiques saines de configuration de serveurs DNS, comme la toute simple restriction des accès récursifs à ses serveurs, ou carrément la séparation des serveur faisant autorités de ceux offrant la récursivité. Et accessoirement remettre au goût du jour quelques règles de filtrage basiques contre le spoofing. Ou tout simplement suggérer une nouvelle que les faiblesses avérées doivent être corrigées sans attendre qu'elles se révèlent vraiment exploitables...

Et que les "Patch Tuesday"^[3] deviennent de plus en plus drôles :)

Update (10/07/2008 - 07:13) : trouvé sur le blog de Stéphane Bortzmeyer, un script pour tester si votre serveur DNS favori utilise un port source fixe pour résoudre vos requêtes.

Update encore : un billet qui montre les stats de consultation leakées par l'outil proposé sur Doxpara.com :)

Update à nouveau : une spéculation intéressante, de la part de Halvar, qu'on dit très très proche de la réalité.

Et pendant que certains publient leurs outils pour attaquer les sessions SSH faibles, d'autres trouvent encore des format strings... Dans OpenSSH^[4]...

Notes

[1] Comme OpenSSL en fait :)

[2] À condition qu'ils ne soient pas trop gentils, voire erronés...

[3] Celui de juillet en l'occurence.

[4] Version portable, en SSHv1 seulement, et manifestement pas exploitable...

Note : 4.2/5 pour 13 votes

Trackbacks

1. Le mercredi 9 juillet 2008 à 15:41, de Expert: Miami

DNS

Pareil que Sid. Je vais juste rajouter qu'une fois de plus un maitre de l'escroquerie a reussi a faire monter la mayonnaise. C'est vraiment nul, les journalistes sont stupides...

2. Le mercredi 9 juillet 2008 à 17:27, de Blog Stéphane Bortzmeyer

Vulnérabilité du DNS rendant l'empoisonnement plus facile

Le 8 février, l'avis VU#800113 du CERT a révélé publiquement une faille du protocole DNS. Cette faille permet un empoisonnement relativement facile des caches DNS. On peut trouver un bon résumé dans l'article Fixes Released for Massive Internet...

3. Le jeudi 10 juillet 2008 à 07:11, de Bruno Kerouanton bilingual blog about IT security and more

Vous avez fini de patcher SSH ? Patchez vos DNS !

Après la faille SSH, la faille DNS. Leur point commun ? Deux failles qui concernent tout le monde ou presque, et qui sont passées inaperçues pendant suffisamment longtemps pour que toute la planète soit impactée, du moins c'est ce que certains...

4. Le jeudi 10 juillet 2008 à 08:38, de Aristote, Sénèque et... Moi...

C'est la fin d'Internet et du monde...

Il est 1h30, je ne dors toujours pas. Aujourd'hui on m'a dit que l'Internet touchait à sa fin... Je regarde depuis deux heures déjà des vidéos avec des chats débiles sur youtube en guettant le moment où Internet s'écroulera...

5. Le vendredi 11 juillet 2008 à 12:16, de Et Paf Mon Blog !

Apprend le botin par coeur !

Meme pas peur de DNS. Outre les aspects techniques de cette faille, il faudrait souligner l'impact que cela pourrait avoir dans les prochaines semaines. Soyez très vigilant quant à une notification HTTPS lors de vos connexions sécurisées par exemple.

6. Le vendredi 11 juillet 2008 à 23:14, de Bulletin d'actualité du CERTA

Bulletin d'actualité 2008-28

La presse a très largement relayé cette semaine une vulnérabilité importante concernant DNS. Le Domain Name System est un élément important de l'architecture Internet puisqu'il assure la transposition des noms de machine en adresse IP, sur...

7. Le vendredi 11 juillet 2008 à 23:22, de San pa dat-yi

Oula Faille DNS !!!!

Pour faire tourner le buzz du moment dans le domaine de la sécurité informatique, allez moi aussi je me lance. Mais plutôt que de relayer une information déjà abondamment fournie en critiques qui sont tout à fait intéressantes (comme d'habitude)...

8. Le samedi 12 juillet 2008 à 00:39, de Traces évidentes...

Au secours, DNS est en danger

Je me serai sûrement bien passé de faire un billet sur ce sujet, mais trois éléments m'y poussent : mon chef a lu libé et a trouvé l'article catastrophe deux commerciaux de ma boîte m'ont dit "oh, tu as vu la faille énorme..." Maître Bortzmeyer a...

9. Le samedi 12 juillet 2008 à 10:42, de Quoi de 9 ?

Deux failles valent mieux qu'une

À moins de ne pas lire de news sur Internet, ne pas regarder la TV et ne pas écouter la radio, vous n'avez pas pu passer à côté de la faille du bug de conception de DNS mise au yeux de tous en début de semaine...

10. Le samedi 12 juillet 2008 à 14:33, de Newsoft's fun blog

Il revient... et il n'est pas content !

Et oui je suis de retour après pas mal d'activités diverses. Mais j'ai aussi eu le temps de m'énerver sur l'actualité récente. La "faille" DNS...

11. Le mardi 15 juillet 2008 à 10:12, de Linux attitude

Transition

Bonne nouvelle, je déménage ! Je veux dire que je change de région, de boulot, de vie... Donc les articles en prennent un coup. Mais ne vous inquiétez pas, je serai de retour d'ici une semaine. En attendant : avez vous mis à jour vos dns ?...

12. Le samedi 26 juillet 2008 à 15:58, de Bebertron

L'attaque DNS: proposition d'un schéma de détection d'empoisonnement de cache

Comment peut on détecter l'empoisonnement du cache de son serveur DNS, sans interroger systématiquement les serveurs DNS autoritaires ? Je propose ici une tentative de solution...

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le mercredi 9 juillet 2008 à 13:45, par Tyop?

Apres Ingrid Betancourt deesse des francais, voila Kaminsky sauveur d'internet.

Le fait vraiment etonnant c'est tous les editeurs qui patchent... C'est peut etre pas uniquement de la paraphrase sur les travaux d'Amit Klein.

Troublant.

Réponse de Sid

Je pense que c'est surtout son exploitation. Si tu regardes les deux dernières versions de BIND9 et leur changelog par exemple, tu vois :
      9.5.0-P1/               08-Jul-2008 17:20    -
      9.5.0/                  07-Jul-2008 21:47    -
On est clairement en plein dans le sujet.

Changelog de 9.5.0 :
  2203. [security] Query id generation was cryptographically
                   weak. [RT # 16915]
Changelog de 9.5.0-P1 :
  2375. [security] Fully randomize UDP query ports to improve
                   forgery resilience. [RT #17949]
On remarquera que seule la 9.5.0-P1 est considérée comme urgente à déployer...

2. Le mercredi 9 juillet 2008 à 13:57, par jme

Si sa super vulnérabilité est ce que tout le monde croit qu'elle est vraiment... C'est un peu dommage... Ça me rappelle un peu la première fin de l'internet avec la vulnérabilité sur la méthode Trace. J'attends toujours la fin de la civilisation qui avait été prévue à cette date. J'espère que la vulnérabilité DNS est celle-là car mon stock de boîtes de conserves arrive à sa date limite de consommation.

3. Le mercredi 9 juillet 2008 à 14:05, par Kevin

Un peu plus d'infos sur la faille d'openSSH?

D'une part, je lis des infos de 2006 la dessus:
http://readlist.com/lists/lists.netsys.com/full-disclosure/5/25542.html
et d'autre part, je lis des messages alarmistes qui disent que tout le monde est touché, et enfin, ce site qui dit que seul SSHv1 est touché.

Alors quid?

Réponse de Sid

Je me trompe peut-être, mais il me semble que auth1.c, c'est code qui gère les authentifications en SSHv1. D'ailleurs, ça tombe bien, regarde le dernier commit :
Wed Jul 9 10:54:05 2008 UTC (80 minutes, 56 seconds ago) by djm
[...]
 - (djm) [auth1.c] Fix format string vulnerability in protocol 1
   PAM account check failure path. The vulnerable format buffer
   is supplied from PAM and should not contain attacker-supplied
   data.
Use the source, Luke. Use the source...

Sinon, après avoir creusé un peu, j'ai du mal à voir comment ça s'exploite. Ou plutôt quand est-ce que l'attaquant peut fournir les données placées dans msg. Si quelqu'un a de meilleures lunettes que les miennes, je suis preneur. De ton côté, tu as les références des messages alarmistes dont tu parles ? Genre s'ils ont des arguments techniques intéressants ? Parce que pour le moment, j'ai surtout l'impression que cet advisory est un gros fake dans ses conclusion :)

4. Le mercredi 9 juillet 2008 à 14:13, par Imad

La faille OpenSSL, n'est elle pas aussi critique que celle-là ? je me demande, pourquoi elle n'a pas suscité autant intérêt... certes, un beau dossier dans misc, mais à ma connaissance pas d'article au figaro :)

Réponse de Sid

Wild guess : la faille OpenSSL (spécifique à Debian) ne touche ni Windows, ni MacOS.

Corollaire : les journalistes ne s'intéressent pas à l'impact de la faille, juste à celui de leur article. Heureusement donc qu'ils n'ont pas appris que phishing via DNS Cache Poisoning, ça avait déjà été fait...

5. Le mercredi 9 juillet 2008 à 16:24, par ITI

Mon cher Sid, pour que des journalistes se rappellent de ce qui a été écrit en 2005, il faudrait que ceux-ci soient encore dans la presse. Le turn-over des gratteux (j'en ai fait partie) est plus rapide que le nombre d'attaques de spam sur mes comptes Hotmail...... ;o) Pour sauver leur place et leur fonction, ils sont pressés de publier quelque chose qui fasse vendre.

Au loup, au loup, tant pis si c'est pô vrai, au moins on parlera de moi pis surtout de mon chef...

6. Le mercredi 9 juillet 2008 à 23:47, par kamoulox

Kamoulox :

http://www.silicon.fr/fr/news/2008/07/09/faille_dns___mauro_israel__on_a_frole_le_big_one_

Réponse de Sid

Et bien on dira qu'il vaut mieux lire ça qu'être aveugle...

7. Le jeudi 10 juillet 2008 à 00:50, par OlivierJ

J'ai moi aussi bien tiqué à cet article (celui de Mauro Israël sur Silicon.fr). Cependant il explique dans les commentaires (cf « réponses aux commentaires tendancieux ») que l'interview résulte d'un entretien téléphonique, et que ses propos ne sont pas retranscrits de la meilleure façon. J'ai quand même laissé un commentaire pour lui expliquer les mises à jour sous Linux (Mandriva et SUSE en ce qui me concerne).

8. Le jeudi 10 juillet 2008 à 02:33, par Tyop?

matasano/Dan Was Right. I Was Wrong
securosis/more-on-the-dns-vulnerability

Quelqu'un me paye une place pour BH08 ? Je lui fais un bisou, et lui porte ses valises.

Réponse de Sid

Donc vu le caractère critique de Ptacek, c'est qu'il doit y avoir un vrai loup dans la bergerie. Donc acte.

Je m'a aussi mis le doigt dans l'œil sur la sévérité. Moins que lui parce que je suis moins méchant (mon côté bisounours), mais quand même. Ceci étant, je reste sur mon scénario et je suis persuadé que le point critique, c'est le brute-force de l'ID de transaction. Le coup des ports source, c'est le gros facteur de mitigation qui permet de compliqué l'attaque, comme expliqué dans le post de Bernstein que j'ai linké plus haut.

Encore une fois, patchez vos serveurs. Vite. Très vite.

9. Le jeudi 10 juillet 2008 à 13:47, par ITI

Et dans l'empressement à sauver ~~son~~ le monde, MS nous en fait une belle :
http://www.securityfocus.com/archive/1/494108 :)

Réponse de Sid

Oui mais non.

C'est de la faute de ZoneAlarm qui attend que les requêtes DNS soient émises d'un port fixe, mais tiré aléatoirement à chaque fois. Ils ont publié des workaround et de nouvelles versions corrigées :
http://download.zonealarm.com/bin/free/pressReleases/2008/LossOfInternetAccessIssue.html

10. Le jeudi 10 juillet 2008 à 17:09, par Tyop?

@Sid: Oui, moi aussi je regrette d'avoir un peu bave sur son dos. Pour ce qui est du bruteforce des tid, il suffit de regarder le patch de bind9 pour s'en persuader (au passage il ne fait pas que randomize le port... enfin je ne vous gache pas le film).

Pour notre billet a bh08, l'interesse a dit qu'il l'offrirait si on trouvait avant.

Réponse de Sid

Effectivement. D'autant qu'il y a deux patches comme je le montrais avant. Et pour la place, c'est un beau challenge en effet ;)

Ceci étant, si le problème est aussi profond qu'il veut bien le dire, je ne pense pas qu'on le trouve en étudiant les patches, vu que ces derniers ne modifieront pas le protocole lui-même. Interropérabilité oblige. Donc au mieux on aurait une piste, au pire... rien.

11. Le jeudi 10 juillet 2008 à 18:15, par SecurityBob

Voici mon interpretation de la faille, en anglais car postee ailleurs :

Let's make the world believe that www.google.com is 127.0.0.1 :

Step 1:

- Create a malicious DNS zone (malicious.com)

- Spread links to www.malicious.com all over the internet (spam, etc...)

Step 2:

- Victim clicks on the the link to www.malicious.com

- Victim's DNS resolver (ns.victim.com) talks to ns.malicious.com

- ns.malicious.com answers by saying that "www.malicious.com" really is an alias for "www.google.com"

=> At this point, I, as an attacker, knows that ns.victim.com is going to ask ns.google.com what is the IP of "www.google.com"

=> ns.victim.com is using either a fixed or a non-random UDP source port for its queries

=> So I can flood ns.victim.com (posing as ns.google.com) with tons of fake DNS answers claiming that www.google.com is 127.0.0.1. All I have to figure out at this point is the XID that will be used, and given that it's a 16 bits integer, it's not the most complex thing of the world.

=> ns.malicious.com now believes that www.google.com is 127.0.0.1

Réponse de Sid

Pour les anglophobes, l'idée principale, c'est que par le jeu du CNAME, vous pouvez d'une part cibler un FQDN (ici www.google.com) et d'autre part être prévenu de son utilisation par quelqu'un, via son resolver habituel, doinc de savoir que ce resolver, depuis un port que vous connaissez, va demander le FQDN en question.

Donc quand votre victime demande www.malicious.net, elle tombe chez via son resolver et vous savez qu'il va y avoir une requête juste après sur www.google.com. Vous sortez alors l'artillerie lourde et balancez la purée sur le resolver, même port, juste après votre réponse pour spoofer www.google.com, en priant très fort pour que d'une part il fasse la requête (genre je l'ai pas dans mon cache) et d'autre part vous choppiez le bon XQID.

Ouais, bien senti SecurityBob, c'est une bonne technique d'automatisation. Par contre, j'espère que le vrai truc est un peu plus chiadé que ça, parce que sinon, je serais carrément déçu. Déçu, déçu, déçu...

12. Le jeudi 10 juillet 2008 à 20:10, par fx

@SecurityBob

"ns.malicious.com now believes that www.google.com is 127.0.0.1"

and the victim

is not a victim

thank you SecurityBob !

:)

13. Le jeudi 10 juillet 2008 à 23:28, par SecurityBob

@fx: Damn'ed, I messed up the conclusion (I'm not as smart as Dan Kaminsky)

Should be :

=> ns.victim.com now believes that www.google.com is 127.0.0.1

14. Le vendredi 11 juillet 2008 à 09:35, par ITI

Merci Sid pour la précision sur le FW ZA, et pour le décodage du post de SecurityBob.
Mais je suis surpris que qqch d'aussi trivial ne remonte à la surface que maintenant.
Personne ne s'est donc paluché la monstrueuse doc de Bind ?
Ou alors les techniques de lecture rapide en diagonale sont toujours cours pour ces foutus manuels ? :)

Réponse de Sid

Tout le monde s'en foutait de DNS. Sauf Kaminsky... C'est d'ailleurs pour ça que pas mal de monde se fout(ait) de sa gueule :)

15. Le vendredi 11 juillet 2008 à 10:46, par kraal

@SecurityBob : tu as mis le doigt dessus je pense, c'est l'attaque décrite par Amit Klein dans son papier de l'année dernière
http://www.trusteer.com/files/BIND_9_DNS_Cache_Poisoning.pdf

A ceci près qu'il préconise de chaîner les résolutions d'alias par le serveur malveillant, pour une détermination de l'état interne du PRNG du Transaction ID, et donc une prédiction du Transaction ID de la résolution finale... Qu'on est loin du bruteforce :)

16. Le vendredi 11 juillet 2008 à 13:24, par pello

NAT et ça repart ..

Réponse de Sid

Je l'ai toujours dit : le NAT soit être conservatif autant que faire se peut, c'est dire ne toucher qu'au strict nécessaire. Ce qui exclue très souvent de modifier les ports source...

17. Le jeudi 17 juillet 2008 à 10:33, par Voncezzz

Un peu de polémique et réveillons le scandale.

Pour simplifier :

si il y a une faille dans le résolveur... Pourquoi seuls les serveurs (caches) DNS seraient touchés ? Les postes de travails ne pourraient-ils pas l'être aussi : Cf. Windows XP (et ZA) ?

si la glibc est touchée, tous les résolveurs Linux l'utilisants sont potentiellement vulnérables aussi, non ?

Bon, je mitige un peu mes propos : le poste de travails d'un réseau privé et/ou filtré (NAT, antispoofing, ...) est mieux confiné, mais les particuliers/PME, ne peut-on pas tromper les clients plutôt que le serveur (cache) DNS ?

C'est plus aléatoire et les chances de succès sont moindres, mais ça peut marcher (cache local ou non)...

Enfin, ces patch ne font-ils pas que repousser l'échéance d'une exploitation aisée de ce type de faille ?

Moi aussi j'attends fébrilement que l'Internet s'arrête...

En tout cas, sans trop s'alarmer, vu l'ancienneté du DNS cache poisonning et sa faible exploitation, je reste pessimiste sur l'effet à long terme de ces correctifs...

De plus, tout le monde va s'engouffrer dans la brèche et rechercher ce genre de bug fonctionnel.

A+

Réponse de Sid

Question 1 tous les resolvers seraient touchés, clients comme serveur. Sinon, pourquoi aurait-on despatches dans Windows Update ? :)

Question 2 oui la glibc est touchée et à priori pas encore patchée...

Remarque sur le poste de travail derrière son NAT ben non justement, on trouve beaucoup de passerelles NAT qui réécrivent les ports source, les rendant séquentiels.

Sur la question de l'échéance : de ce qu'on sait aujourd'hui, ce ne sont que des workaround. Le problème viendrait du protocole DNS lui-même qui serait donc à revoir.

18. Le jeudi 17 juillet 2008 à 14:42, par Kevin

@sid: concernant ssh, je crois que c'est surtout du buzz car ils ont trouvé "une faille" dans ssh et que c'est suffisant pour s'en féliciter, peu importe l'impact de celle-ci.

Concernant la faille DNS, beaucoup de liens tournent autour du contournement qui consiste à utiliser d'une part la randomization des ports-sources, et d'autre part une meilleure randomization des TXID. Ceci couvre l'attaque de cache poisoning.

Néanmoins, sur différents blogs, on peut lire Dan Kaminsky signalant que ce correctif n'est qu'un contournement de la faille et non pas la faille elle-même. Je cite par exemple: http://www.circleid.com/posts/87143_dns_not_a_guessing_game/
While I've been writing about holes like this since 1995, I did not know about *this* hole until Dan Kaminsky called me in February and said "guess what?" (de Paul Vixie, celui qui parlait il y a pas mal de temps des attaques par DNS cache poisoning).

Oublions donc l'attaque par cache poisoning.

Que reste t'il?
-A priori le port randomization n'est pas la solution, seulement un moyen de rendre l'attaque plus difficile. [note: pourquoi personne ne parle de faire transiter DNS sur TCP? Ca marche, et ça devrait éviter les attaques de ce type]
-Néanmoins, avoir un port UDP aléatoire permet d'apparaitre comme SAFE chez doxpara.
-La faille semble être énorme, puisqu'a priori, et toujours sur différents blogs, dès que les chercheurs sont mis au courant, ils terminent en disant "Dan was right"
-La faille touche tout le monde: design bug, selon les termes de Dan. Donc exit les erreurs d'implémentations (buffer overflow, etc..). Cela voudrait dire que la lecture attentive des RFC permettrait de dénicher la faille?

A part patcher et attendre le 6 aout, quelqu'un à une idée?

19. Le dimanche 20 juillet 2008 à 23:36, par Pierre

@Voncezzz et Sid : A propos des postes de travail, si comme le pense SecurityBob plus haut, l'attaque demande de :

1. faire faire d'abord une (ou plusieurs) requête(s) vers un domaine dont on est maître pour se faire une idée de l'entropie du client et de son état ;

2. lui faire faire, via un CNAME, une requête pour un nom donné.

alors les resolvers clients ne sont pas concernés, vu qu'ils font faire toutes leurs requêtes via un (ou des) serveur(s) définis (et sur lesquels on n'a pas la main).

Ou bien j'ai manqué quelque chose ?

Réponse de Sid

Quelque chose ? Que SecurityBob ne fait qu'une hypothèse ? Et que celle-ci n'est absolument pas contradictoire avec une faiblesse dans le resolver d'un client.

20. Le lundi 21 juillet 2008 à 07:24, par Pierre

@Sid : "Que SecurityBob ne fait qu'une hypothèse ?"

Oui, d'où le "si comme le pense SecurityBob" qui commence mon commentaire.

21. Le mercredi 23 juillet 2008 à 18:00, par Voncezzz

Non, en fin je m'a gourré... Les client sont vulnérable certe, mais il faudrait envoyer tellement de fake avec ID et port différents qu'on en serait plus rendu à du DoS qu'à du cache poisonning...

Je note simplement qu'on n'a fait que des contournement et que ça ne fait que repousser l'échéance d'un nouveau buzz ;-)

Ceci dit, je suis totalement d'accord sur le fait que c'est DNS qui est à revoir car il n'est pas prévu pour être sécurisé...

Ca me rappelle un gros truc sur HSRP dans les années 2002... Sauf que HSRP est bien moins utile au fonctionnement de l'Internet pour le toutunchacun...

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...

DNS, DNS, DNS...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Abonnez-vous

À propos...

Rechercher

Calendrier

Hitmap

Dans la catégorie "(In)Sécurité"

Langues

Catégories

Archives

Liens

Blogs

Webcomics

Chez moi (from me)

« avril 2013
lun	mar	mer	jeu	ven	sam	dim
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30