Рекомендация Debian по безопасности
DSA-1605-1 glibc -- отравление кеша DNS
- Дата сообщения:
- 08.07.2008
- Затронутые пакеты:
- glibc
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2008-1447.
База данных CERT по уязвимостям, предложениям и инцидентам: VU#800113. - Более подробная информация:
-
Дэн Камински обнаружил, что собственные свойства протокола DNS приводят к практическим атакам по подделке DNS и отравлению кеша. Помимо прочего успешные атаки могут приводить к неправильному направлению веб-трафика и электронной почты.
В этот раз нельзя реализовать рекомендуемые контрмеры в решателе GNU libc. Доступны следующие обходные пути:
1. Установить локальный решатель BIND 9 на узел, возможно в режиме ретранслятора. BIND 9 будет использовать случайный выбор порта источника при отправке запросов по сети. (Могут использоваться и другие кешируюшие решатели.)
2. Использовать (при наличии) защиту от подделки IP адреса. Успешные атаки должны подделать адрес одного из решателей, что может оказаться невозможным в том случае, если сеть защищена от атак по подделке IP адресов (и со стороны внутренних, и со стороны внешних источников).
Данная рекомендация DSA будет обновлена, как только будут доступны заплаты для усиления безопасности решателя.