Информация по безопасности / 2008 / Информация о безопасности -- DSA-1604-1 bind

Рекомендация Debian по безопасности

DSA-1604-1 bind -- отравление кеша DNS

Дата сообщения:

08.07.2008

Затронутые пакеты:

bind

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2008-1447.
База данных CERT по уязвимостям, предложениям и инцидентам: VU#800113.

Более подробная информация:

Дэн Камински обнаружил, что собственные свойства протокола DNS приводят к практическим атакам по отравлению кеша DNS. Помимо прочего успешные атаки могут приводить к неправильному направлению веб-трафика и электронной почты.

Устаревшая кодовая база BIND 8 не может быть обновлена с целью включения рекомендуемой контрмеры (случайный выбор порта источника, подробности смотрите в DSA-1603-1). В этой ситуации имеется два варианта действий:

1. Выполнить обновление до BIND 9 (или другой реализации со случайным выбором порта источника). Документация в пакете BIND 9 содержит руководство по миграции.

2. Настроить решатель BIND 8 на передачу запросов решателю BIND 9. Учитывая, что сеть между обоими решателями безопасна, это защищает решатель BIND 8 от атак по отравлению кеша (до той степени, до которой защищён решатель BIND 9).

Эта проблема не касается BIND 8 в том случае, когда он используется только в качестве авторитетного DNS-сервера. Теоретически можно безопасности использовать BIND 8, но настоятельно рекомендуем выполнить обновление до BIND 9. BIND 8 (то есть, пакет bind) будет удалён из выпуска etch в будущей редации.