Debians sikkerhedsbulletin

DSA-1605-1 glibc -- DNS-cacheforgiftning

Rapporteret den:
8. jul 2008
Berørte pakker:
glibc
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2008-1447.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#800113.
Yderligere oplysninger:

Dan Kaminsky opdagede at medfødte egenskaber i DNS-protokollen kunne føre til effektive DNS-cacheforgiftningsangreb. Blandt andre kunne succesrige angreb føre til fejldirigeret webtrafik og e-mail-omdirigering.

I øjeblikket er det ikke muligt at implementere de anbefalede modforholdsregler i GNU libcs stub-opløser (resolver). Følgende omgåelser af problemet er tilgængelige:

1. Installér en lokal BIND 9-opløser på værtsmaskinen, om muligt i forward-only-tilstand. BIND 9 vil da anvende kildeportsrandomnisering, når der sendes forespørgsler over netværket. (Andre cachingopløsere kan anvendes i stedet.)

2. Vær afhænging af beskyttelse mod IP-adresseforfalskning, hvis det er tilgængeligt. Succesrige angreb forfalsker adressen på en af opløserne, hvilket måske ikke er muligt, hvis netværket i korrekt beskyttet mod IP-forfalskningsangreb (både fra interne og eksterne kilder).

Denne DSA til blive opdateret med rettelser til hærdning af stub-opløseren, når de bliver tilgængelige.