Debians sikkerhedsbulletin
DSA-1605-1 glibc -- DNS-cacheforgiftning
- Rapporteret den:
- 8. jul 2008
- Berørte pakker:
- glibc
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2008-1447.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#800113. - Yderligere oplysninger:
-
Dan Kaminsky opdagede at medfødte egenskaber i DNS-protokollen kunne føre til effektive DNS-cacheforgiftningsangreb. Blandt andre kunne succesrige angreb føre til fejldirigeret webtrafik og e-mail-omdirigering.
I øjeblikket er det ikke muligt at implementere de anbefalede modforholdsregler i GNU libcs stub-opløser (
resolver
). Følgende omgåelser af problemet er tilgængelige:1. Installér en lokal BIND 9-opløser på værtsmaskinen, om muligt i forward-only-tilstand. BIND 9 vil da anvende kildeportsrandomnisering, når der sendes forespørgsler over netværket. (Andre cachingopløsere kan anvendes i stedet.)
2. Vær afhænging af beskyttelse mod IP-adresseforfalskning, hvis det er tilgængeligt. Succesrige angreb forfalsker adressen på en af opløserne, hvilket måske ikke er muligt, hvis netværket i korrekt beskyttet mod IP-forfalskningsangreb (både fra interne og eksterne kilder).
Denne DSA til blive opdateret med rettelser til hærdning af stub-opløseren, når de bliver tilgængelige.