Debians sikkerhedsbulletin

DSA-1604-1 bind -- DNS-cacheforgiftning

Rapporteret den:
8. jul 2008
Berørte pakker:
bind
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2008-1447.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#800113.
Yderligere oplysninger:

Dan Kaminsky opdagede at medfødte egenskaber i DNS-protokollen kunne føre til effektive DNS-cacheforgiftningsangreb. Blandt andre kunne succesrige angreb føre til fejldirigeret webtrafik og e-mail-omdirigering.

Den gamle BIND 8-kodebase kunne ikke opdateres med de anbefalede modforholdsregler (kildeportsrandomnisering, se DSA-1603-1 for flere oplysninger). Der er to måder at løse problemet på:

1. Opgradér til BIND 9 (eller en anden implementering med kildeportsrandomnisering). Dokumentationen, der følger med BIND 9, indeholder en migreringsvejledning.

2. Opsæt BIND 8-opløseren (resolver) til at videresende forespørgsler til en BIND 9-opløser. Forudsat at netværket mellem begge opløsere er betroet, beskytte dette BIND 8-opløseren fra cacheforgiftningsangreb (med samme grad af sikkerhed, som BIND 9-opløseren har).

Problemet gælder ikke BIND 8, hvis programmet udelukkende som en autoritativ DNS-server. Det er teoretisk muligt, på denne måde at anvende BIND 8 på en sikker måde, men opdatering til BIND 9 anbefales kraftigt. BIND 8 (altså bind-pakken) vil blive fjernet fra distributionen etch i en fremtidig punktopdatering.