Debian-Sicherheitsankündigung
DSA-1605-1 glibc -- DNS-Cache-Verunreinigung
- Datum des Berichts:
- 08. Jul 2008
- Betroffene Pakete:
- glibc
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2008-1447.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: VU#800113. - Weitere Informationen:
-
Dan Kaminsky entdeckte, dass dem DNS-Protokoll anhaftende Eigenschaften zu DNS-Verschleierungs- (Spoofing) und Cache-Verunreinigungsangriffen (cache poisoning) führen können. Neben anderen Dingen, können erfolgreiche Angriffe zu fehlgeleiteten Web-Daten und E-Mail-Umleitungen führen.
Zurzeit ist es nicht möglich, die empfohlenen Gegenmaßnahmen im GNU-libc-stub-Auflöser zu implementieren. Die folgenden provisorischen Lösungen stehen bereit:
1. Installieren eines lokalen BIND-9-Auflösers auf dem Rechner, eventuell im Nur-Weiterleiten-Modus. BIND 9 wird dann den Quellport durch Zufallsereignisse verschleiern, wenn Anfragen über das Netzwerk gesendet werden. (Andere cachende Auflöser können stattdessen verwendet werden.)
2. Vertrauen auf IP-Adress-Verschleierungsschutz, falls verfügbar. Erfolgreiche Angriffe müssen die Adresse eines der Auflöser verschleiern, was nicht möglich sein wird, falls das Netzwerk ausreichend gegen IP-Verschleierungsangriffe (sowohl von internen als auch externen Quellen) geschützt ist.
Diese DSA wird aktualisiert, wenn Patches zum Härten des Stub-Auflösers verfügbar sind.