Fred do NIC.BR também alertou sobre isso... segue abaixo: Senhores,
Atenção, os anúncios abaixo são muito sérios. Se a sua instituição tem um servidor prestando serviço de DNS recursivo você deve efetuar o upgrade o mais rápido possível. http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php http://www.microsoft.com/technet/security/Bulletin/MS08-037.mspx As formas de mitigar este problema, agora implementadas no BIND e no servidor da Microsoft, são discutidas em detalhes em um draft do grupo dnsext no IETF [1]. Dnscache e Unbound já implementam esta técnicas mas é bom ficar claro que a única solução é DNSSEC. As últimas versões do BIND e do Unbound podem ser obtidas no servidor ftp do registro.br. [2] Fred [1] http://tools.ietf.org/id/draft-ietf-dnsext-forgery-resilience-05.txt [2] ftp://ftp.registro.br/pub/bind/9.5.0-P1 ftp://ftp.registro.br/pub/unbound/ -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] Powered by .... (__) \\\'',) \/ \ ^ .\._/_) www.FreeBSD.org ----- Original Message ----- From: "Antonio Carlos" <[EMAIL PROTECTED]> To: <freebsd@fug.com.br> Sent: Thursday, July 10, 2008 2:02 PM Subject: [FUG-BR] Dns Boa tarde lista tudo bem, alguem viu o boletim do cais.rnp.br sobre problemas com dns segue a mensagem, tem a atualizacao para o free ? Abracos O CAIS esta' repassando o alerta do US-CERT, intitulado "VU#800113 - Multiple DNS implementations vulnerable to cache poisoning", que trata de deficiencias no protocolo DNS (Domain Name System) e em implementacoes de DNS que permitem ataques de envenenamento de cache DNS. Este tipo de ataque consiste em um atacante introduzir dados forjados no cache de um servidor de nomes DNS. Um atacante que consiga realizar um ataque de envenenamento de cache com sucesso pode fazer com que clientes de um servidor DNS sejam direcionados para um host malicioso, sob controle do atacante. Qualquer tipo de servico pode ser redirecionado com a exploracao desta tecnica, web e e-mail por exemplo. Este tipo de ataque e' particularmente preocupante porque explora um problema nao previsto pela maioria massiva dos usuarios, que naturalmente nao confere se o host que responde por determinado servico e' legitimo, embora o dominio esteja correto. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
