[Linux-bruxelles] OVH & faille de securite DNS ?

Didier Misson didier.linux at gmail.com
Mer 30 Juil 22:36:00 CEST 2008 

Frederic Peters a écrit :
> Didier Misson écrivait :
> 
>> Je me demande quand même ce qu'ils ont bien pu détecter !
> 
> Oui oui, tu devrais leur demander.
> 
> 
>> Mais, pour revenir à cette faille, il me semble avoir lu que ça touchait
>> également les clients DNS et le DNS cache ? donc pas uniquement les
>> serveurs DNS ? (même si évidemment le plus gros risque est un serveur
>> DNS non patché...)
> 
> De fait ça concerne aussi les clients (qui doivent changer de port
> source de manière aléatoire) mais je me demande comment ils auraient
> pu tester ça.
> 
> Dans l'annonce DSA, tu as ces recommandations :
> 
>   At this time, it is not possible to implement the recommended
>   countermeasures in the GNU libc stub resolver.  The following
>   workarounds are available:
>   
>   1. Install a local BIND 9 resoler on the host, possibly in
>   forward-only mode.  BIND 9 will then use source port randomization
>   when sending queries over the network.  (Other caching resolvers can
>   be used instead.)
>   
>   2. Rely on IP address spoofing protection if available.  Successful
>   attacks must spoof the address of one of the resolvers, which may not
>   be possible if the network is guarded properly against IP spoofing
>   attacks (both from internal and external sources).
> 
> 
>         Frédéric
> 

eeurrkkk...

Starting Nmap 4.53 ( http://insecure.org ) at 2008-07-30 22:22 CEST
Interesting ports on ks (88.88.88.88):
Not shown: 1705 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
25/tcp   open     smtp
53/tcp   open     domain  <--------
80/tcp   open     http
443/tcp  open     https
445/tcp  filtered microsoft-ds  <-------
873/tcp  open     rsync
993/tcp  open     imaps
6667/tcp filtered irc     <------



p.... c'est quoi tous ces ports !

le 53, 445 et 6667 me semblent de trop !
Jamais démarré ça moi... mais je vais demander : je ne suis pas seul à
gérer ce serveur, et je sais que l'autre admin a bricolé avec des appli...


Je sais qu'il y a une commande permettant de voir le programme qui est à
l'écoute d'un port particulier.
Mais je ne me rappelle plus quelle commande...

Merci,


-- 
Didier

http://www.les-objets-de-maman.be : objets, meubles et tableau à vendre
http://gallery.les-objets-de-maman.be : les photos des objets

Plus d'informations sur la liste de diffusion Linux-bruxelles