Informations de sécurité / 2008 / Informations sur la sécurité -- DSA-1605-1 glibc

Bulletin d'alerte Debian

DSA-1605-1 glibc -- Empoisonnement de cache DNS

Date du rapport :

8 juillet 2008

Paquets concernés :

glibc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2008-1447.
Les annonces de vulnérabilité et les bulletins d'alerte du CERT : VU#800113.

Plus de précisions :

Dan Kaminsky a découvert que des propriétés inhérentes au protocole DNS conduisaient à des attaques par empoisonnement de cache DNS. Entre autres choses, des attaques réussies peuvent conduire à mal diriger du trafic sur la Toile et à rerouter des courriels.

Actuellement, il n'est pas possible d'implanter les contre-mesures recommandées dans le solveur de libc de GNU. Les contournements suivants sont possibles :

1. Installer un solveur local de la version 9 de Bind sur l'hôte, éventuellement en redirection seule. La version  9 de BIND utilise alors la sélection aléatoire de port source lors de l'envoi de requêtes sur le réseau (d'autre solveurs de cache peuvent être utilisés à la place).

2. Compter sur la protection d'usurpation d'adresse IP si elle est disponible. Les attaques réussies doivent usurper l'adresse d'un des solveurs ce qui peut ne pas être possible si le réseau est correctement protégé contre les attaques par usurpation d'adresse IP (à la fois de sources internes et externes).

Ce bulletin de sécurité Debian sera mis à jour lorsque des correctifs pour renforcer le solveur seront disponibles.