[Linux-bruxelles] OVH & faille de securite DNS ?

Frederic Peters fpeters at entrouvert.com
Mer 30 Juil 21:55:15 CEST 2008


Didier Misson écrivait :

> Je me demande quand même ce qu'ils ont bien pu détecter !

Oui oui, tu devrais leur demander.


> Mais, pour revenir à cette faille, il me semble avoir lu que ça touchait
> également les clients DNS et le DNS cache ? donc pas uniquement les
> serveurs DNS ? (même si évidemment le plus gros risque est un serveur
> DNS non patché...)

De fait ça concerne aussi les clients (qui doivent changer de port
source de manière aléatoire) mais je me demande comment ils auraient
pu tester ça.

Dans l'annonce DSA, tu as ces recommandations :

  At this time, it is not possible to implement the recommended
  countermeasures in the GNU libc stub resolver.  The following
  workarounds are available:
  
  1. Install a local BIND 9 resoler on the host, possibly in
  forward-only mode.  BIND 9 will then use source port randomization
  when sending queries over the network.  (Other caching resolvers can
  be used instead.)
  
  2. Rely on IP address spoofing protection if available.  Successful
  attacks must spoof the address of one of the resolvers, which may not
  be possible if the network is guarded properly against IP spoofing
  attacks (both from internal and external sources).


        Frédéric




Plus d'informations sur la liste de diffusion Linux-bruxelles