Sikkerhedsoplysninger / 2008 / Sikkerhedsoplysninger -- DSA-1605-1 glibc

Debians sikkerhedsbulletin

DSA-1605-1 glibc -- DNS-cacheforgiftning

Rapporteret den:

8. jul 2008

Berørte pakker:

glibc

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2008-1447.
CERTs noter om sårbarheder, bulletiner og hændelser: VU#800113.

Yderligere oplysninger:

Dan Kaminsky opdagede at medfødte egenskaber i DNS-protokollen kunne føre til effektive DNS-cacheforgiftningsangreb. Blandt andre kunne succesrige angreb føre til fejldirigeret webtrafik og e-mail-omdirigering.

I øjeblikket er det ikke muligt at implementere de anbefalede modforholdsregler i GNU libcs stub-opløser (resolver). Følgende omgåelser af problemet er tilgængelige:

1. Installér en lokal BIND 9-opløser på værtsmaskinen, om muligt i forward-only-tilstand. BIND 9 vil da anvende kildeportsrandomnisering, når der sendes forespørgsler over netværket. (Andre cachingopløsere kan anvendes i stedet.)

2. Vær afhænging af beskyttelse mod IP-adresseforfalskning, hvis det er tilgængeligt. Succesrige angreb forfalsker adressen på en af opløserne, hvilket måske ikke er muligt, hvis netværket i korrekt beskyttet mod IP-forfalskningsangreb (både fra interne og eksterne kilder).

Denne DSA til blive opdateret med rettelser til hærdning af stub-opløseren, når de bliver tilgængelige.