Debian-Sicherheitsankündigung

DSA-1605-1 glibc -- DNS-Cache-Verunreinigung

Datum des Berichts:
08. Jul 2008
Betroffene Pakete:
glibc
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2008-1447.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#800113.
Weitere Informationen:

Dan Kaminsky entdeckte, dass dem DNS-Protokoll anhaftende Eigenschaften zu DNS-Verschleierungs- (Spoofing) und Cache-Verunreinigungsangriffen (cache poisoning) führen können. Neben anderen Dingen, können erfolgreiche Angriffe zu fehlgeleiteten Web-Daten und E-Mail-Umleitungen führen.

Zurzeit ist es nicht möglich, die empfohlenen Gegenmaßnahmen im GNU-libc-stub-Auflöser zu implementieren. Die folgenden provisorischen Lösungen stehen bereit:

1. Installieren eines lokalen BIND-9-Auflösers auf dem Rechner, eventuell im Nur-Weiterleiten-Modus. BIND 9 wird dann den Quellport durch Zufallsereignisse verschleiern, wenn Anfragen über das Netzwerk gesendet werden. (Andere cachende Auflöser können stattdessen verwendet werden.)

2. Vertrauen auf IP-Adress-Verschleierungsschutz, falls verfügbar. Erfolgreiche Angriffe müssen die Adresse eines der Auflöser verschleiern, was nicht möglich sein wird, falls das Netzwerk ausreichend gegen IP-Verschleierungsangriffe (sowohl von internen als auch externen Quellen) geschützt ist.

Diese DSA wird aktualisiert, wenn Patches zum Härten des Stub-Auflösers verfügbar sind.