Debians sikkerhedsbulletin
DSA-1604-1 bind -- DNS-cacheforgiftning
- Rapporteret den:
- 8. jul 2008
- Berørte pakker:
- bind
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2008-1447.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#800113. - Yderligere oplysninger:
-
Dan Kaminsky opdagede at medfødte egenskaber i DNS-protokollen kunne føre til effektive DNS-cacheforgiftningsangreb. Blandt andre kunne succesrige angreb føre til fejldirigeret webtrafik og e-mail-omdirigering.
Den gamle BIND 8-kodebase kunne ikke opdateres med de anbefalede modforholdsregler (kildeportsrandomnisering, se DSA-1603-1 for flere oplysninger). Der er to måder at løse problemet på:
1. Opgradér til BIND 9 (eller en anden implementering med kildeportsrandomnisering). Dokumentationen, der følger med BIND 9, indeholder en migreringsvejledning.
2. Opsæt BIND 8-opløseren (
resolver
) til at videresende forespørgsler til en BIND 9-opløser. Forudsat at netværket mellem begge opløsere er betroet, beskytte dette BIND 8-opløseren fra cacheforgiftningsangreb (med samme grad af sikkerhed, som BIND 9-opløseren har).Problemet gælder ikke BIND 8, hvis programmet udelukkende som en autoritativ DNS-server. Det er teoretisk muligt, på denne måde at anvende BIND 8 på en sikker måde, men opdatering til BIND 9 anbefales kraftigt. BIND 8 (altså bind-pakken) vil blive fjernet fra distributionen etch i en fremtidig punktopdatering.