Säkerhetsbulletin från Debian
DSA-1604-1 bind -- förgiftad DNS-cache
- Rapporterat den:
- 2008-07-08
- Berörda paket:
- bind
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2008-1447.
CERTs information om sårbarheter, bulletiner och incidenter: VU#800113. - Ytterligare information:
-
Dan Kaminsky upptäckte att egenskaper som finns hos DNS-protokollet gör det möjligt att i praktiken utföra DNS-förgiftningsangrepp. Bland annat kan framgångsrika angrepp leda till feldirigerad webbtrafik och omdirigering av e-post.
Den gamla BIND 8-kodbasen kunde inte uppdateras så med den rekommenderade motåtgärden (slumpning av källportar, se DSA-1603-1 för detaljer). Det finns två sätt att hantera situationen:
1. Uppgradera till BIND 9 (eller en annan implementation med slumpning av källportar). Dokumentationen som medföljer BIND 9 innehåller en uppgraderingsguide.
2. Konfigurera BIND 8-namnservern att vidaresända förfrågningar till en BIND 9-namnserver. Givet att nätverket mellan de båda namnservrarna är betrott skyddar detta BIND 8-namnservern från cacheförgiftningsangrepp (i samma grad som BIND 9-namnservern är skyddad).
Problemet gäller inte när BIND 8 används som auktoritativ DNS-server. Det är i teorin möjligt att säkert använda BIND 8 på detta sätt, men vi rekommenderar å det bestämdaste att uppgradera till BIND 9. BIND 8 (dvs. paketet bind) kommer att tas bort från Etch-utgåvan i en framtida underutgåva.