Säkerhetsbulletin från Debian

DSA-1604-1 bind -- förgiftad DNS-cache

Rapporterat den:
2008-07-08
Berörda paket:
bind
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2008-1447.
CERTs information om sårbarheter, bulletiner och incidenter: VU#800113.
Ytterligare information:

Dan Kaminsky upptäckte att egenskaper som finns hos DNS-protokollet gör det möjligt att i praktiken utföra DNS-förgiftningsangrepp. Bland annat kan framgångsrika angrepp leda till feldirigerad webbtrafik och omdirigering av e-post.

Den gamla BIND 8-kodbasen kunde inte uppdateras så med den rekommenderade motåtgärden (slumpning av källportar, se DSA-1603-1 för detaljer). Det finns två sätt att hantera situationen:

1. Uppgradera till BIND 9 (eller en annan implementation med slumpning av källportar). Dokumentationen som medföljer BIND 9 innehåller en uppgraderingsguide.

2. Konfigurera BIND 8-namnservern att vidaresända förfrågningar till en BIND 9-namnserver. Givet att nätverket mellan de båda namnservrarna är betrott skyddar detta BIND 8-namnservern från cacheförgiftningsangrepp (i samma grad som BIND 9-namnservern är skyddad).

Problemet gäller inte när BIND 8 används som auktoritativ DNS-server. Det är i teorin möjligt att säkert använda BIND 8 på detta sätt, men vi rekommenderar å det bestämdaste att uppgradera till BIND 9. BIND 8 (dvs. paketet bind) kommer att tas bort från Etch-utgåvan i en framtida underutgåva.