[Linux-bruxelles] OVH & faille de securite DNS ?
Didier Misson
didier.linux at gmail.com
Mer 30 Juil 22:36:00 CEST 2008
Frederic Peters a écrit :
> Didier Misson écrivait :
>
>> Je me demande quand même ce qu'ils ont bien pu détecter !
>
> Oui oui, tu devrais leur demander.
>
>
>> Mais, pour revenir à cette faille, il me semble avoir lu que ça touchait
>> également les clients DNS et le DNS cache ? donc pas uniquement les
>> serveurs DNS ? (même si évidemment le plus gros risque est un serveur
>> DNS non patché...)
>
> De fait ça concerne aussi les clients (qui doivent changer de port
> source de manière aléatoire) mais je me demande comment ils auraient
> pu tester ça.
>
> Dans l'annonce DSA, tu as ces recommandations :
>
> At this time, it is not possible to implement the recommended
> countermeasures in the GNU libc stub resolver. The following
> workarounds are available:
>
> 1. Install a local BIND 9 resoler on the host, possibly in
> forward-only mode. BIND 9 will then use source port randomization
> when sending queries over the network. (Other caching resolvers can
> be used instead.)
>
> 2. Rely on IP address spoofing protection if available. Successful
> attacks must spoof the address of one of the resolvers, which may not
> be possible if the network is guarded properly against IP spoofing
> attacks (both from internal and external sources).
>
>
> Frédéric
>
eeurrkkk...
Starting Nmap 4.53 ( http://insecure.org ) at 2008-07-30 22:22 CEST
Interesting ports on ks (88.88.88.88):
Not shown: 1705 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain <--------
80/tcp open http
443/tcp open https
445/tcp filtered microsoft-ds <-------
873/tcp open rsync
993/tcp open imaps
6667/tcp filtered irc <------
p.... c'est quoi tous ces ports !
le 53, 445 et 6667 me semblent de trop !
Jamais démarré ça moi... mais je vais demander : je ne suis pas seul à
gérer ce serveur, et je sais que l'autre admin a bricolé avec des appli...
Je sais qu'il y a une commande permettant de voir le programme qui est à
l'écoute d'un port particulier.
Mais je ne me rappelle plus quelle commande...
Merci,
--
Didier
http://www.les-objets-de-maman.be : objets, meubles et tableau à vendre
http://gallery.les-objets-de-maman.be : les photos des objets
Plus d'informations sur la liste de diffusion Linux-bruxelles