[Linux-bruxelles] OVH & faille de securite DNS ?
Frederic Peters
fpeters at entrouvert.com
Mer 30 Juil 21:55:15 CEST 2008
Didier Misson écrivait :
> Je me demande quand même ce qu'ils ont bien pu détecter !
Oui oui, tu devrais leur demander.
> Mais, pour revenir à cette faille, il me semble avoir lu que ça touchait
> également les clients DNS et le DNS cache ? donc pas uniquement les
> serveurs DNS ? (même si évidemment le plus gros risque est un serveur
> DNS non patché...)
De fait ça concerne aussi les clients (qui doivent changer de port
source de manière aléatoire) mais je me demande comment ils auraient
pu tester ça.
Dans l'annonce DSA, tu as ces recommandations :
At this time, it is not possible to implement the recommended
countermeasures in the GNU libc stub resolver. The following
workarounds are available:
1. Install a local BIND 9 resoler on the host, possibly in
forward-only mode. BIND 9 will then use source port randomization
when sending queries over the network. (Other caching resolvers can
be used instead.)
2. Rely on IP address spoofing protection if available. Successful
attacks must spoof the address of one of the resolvers, which may not
be possible if the network is guarded properly against IP spoofing
attacks (both from internal and external sources).
Frédéric
Plus d'informations sur la liste de diffusion Linux-bruxelles