FYI & FWIW: Les détais de la faille DNS ont été rendus publics avant l'heure, il y a 3 jours. Vous avez dû voir les multiples articles techniques, blogs et interviews, dont voici un échantillon :
- http://blog.invisibledenizen.org/2008/07/kaminskys-dns-issue-accidentally-leaked.html - http://beezari.livejournal.com/141796.html - http://blog.wired.com/27bstroke6/2008/07/kaminsky-on-how.html (Interview de D. Kaminsky) - http://blog.wired.com/27bstroke6/2008/07/details-of-dns.html Et depuis hier, c'est le code source de programmes permettant l'exploitation sont publics : - http://www.caughq.org/exploits/CAU-EX-2008-0002.txt - http://metasploit.com/dev/trac/browser/framework3/trunk/modules/auxiliary/spoof/dns/baliwicked_host.rb?rev=5579 - Quelques articles sur ces exploitations : o http://blogs.zdnet.com/security/?p=1545 o http://blog.wired.com/27bstroke6/2008/07/dns-exploit-in.html À mon avis, il ne serait pas étonnat d'apprendre dans les jours qui viennent de vrais attaques à la pollution de cache chez des ISP qui n'ont pas (encore) fait le nécessaire (patch, patch, patch !) Mohsen. On 10 Jul, Mohsen Souissi wrote: | Bonjour, | | J'envoie ce message à titre personnel et ce message n'engage que moi | (et donc pas mon employeur) : | | On 10 Jul, Nicolas Haller wrote: | | On Thu, Jul 10, 2008 at 07:55:42AM +0200, Charles wrote: | | > Je suis surpris de ne pas avoir entendu parler de ça sur la liste | | | | > http://www.isc.org/index.pl?/sw/bind/bind-security.php | | > http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447 | | > http://www.kb.cert.org/vuls/id/800113 | | | | > Je l'ai découvert hier via la ML d'OVH (merci Octave) et ce matin sur | | > France Inter (sic !) mais pas ici. | | | | > J'ai un peu honte d'être passé à côté en fait... | | | | > Est-ce que l'impact est très exagéré ? Qu'en pensez-vous ? | | | | L'histoire de ce trou est assez atypique en fait. Il a été découvert il | | y a quelque mois et les "fabriquants" de serveurs dns ont maintenu un | | silence de plomb pour que tout le monde sortent son patch en synchro. | | | | Maintenant sur le trou, l'isc place la sévérité à low. Mais ce qui | ^^^ | | ==> Attention ! Je ne sais pas où vous avez trouvé cette info, mais | moi je m'alimente à la source et je lis "Severity High" (c'est dans le | premier URL que cous citez ci-dessus) : | | http://www.isc.org/index.pl?/sw/bind/bind-security.php | | | m'inquiète le plus c'est que le trou se trouve dans la conception même | | du protocole et que les patch ne font que rendrent l'attaque plus | | compliqué. | | | | Sur les conséquences, le trou s'applique que sur les dns resolvers. Par | | conséquent, les serveurs les plus gênants sont les serveurs dns que les | | isp donnent à leurs clients par exemple. Vu que les systèmes dans les | | coeurs de nos réseaux sont servis, en général, par des machines dédiées | | à ça en interne et ne servent pas l'exterieur, cela "protège" les | | infrastructures je pense. | | ==> Attention ! Vous semblez parler des serveurs récursifs de la | protection des serveurs récursifs "non ouverts" vs "ouverts". D'après | http://www.kb.cert.org/vuls/id/800113 cette faille touche les serveurs | OUVERTS et NON OUVERTS, même si la difficulté de l'attaque n'est pas | forcément la même (un paragraphe subtile à la section "II Solution ; | "Restrict Access" explique l'intérêt à être prudent). | | Pour info, l'AFNIC a relayé hier cette alerte à l'ensemble de ces | bureaux d'enregistrement (registrars) dont une bonne partie sont des | ISP. Vous pouvez par exemple lire : | http://operations.nic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html | | | Sur la façon dont est sorti le patch, la synchro part d'une bonne | | intention mais il me semble que les projets des différents OS n'ont pas | | été mis dans la confidence. Hier en quittant le boulot, FreeBSD n'avait | | pas sorti de patch pour le BIND de son base system. Je ne connais pas la | | situation sur les autres os/distrib. | | ==> Oui en effet, certains éditeurs d'OS semblent ne pas réagir à temps. | | | Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être | | verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant | | participer activement l'utilisateur! (désolé pour le trip :-) | | ==> Comme le sera sans doute l'IP collaboratif 2.0, à commencer par le | BGP collaboratif 2.0 ;-) | | Mohsen. | --------------------------- | Liste de diffusion du FRnOG | http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/