Рекомендация Debian по безопасности

DSA-1605-1 glibc -- отравление кеша DNS

Дата сообщения:
08.07.2008
Затронутые пакеты:
glibc
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2008-1447.
База данных CERT по уязвимостям, предложениям и инцидентам: VU#800113.
Более подробная информация:

Дэн Камински обнаружил, что собственные свойства протокола DNS приводят к практическим атакам по подделке DNS и отравлению кеша. Помимо прочего успешные атаки могут приводить к неправильному направлению веб-трафика и электронной почты.

В этот раз нельзя реализовать рекомендуемые контрмеры в решателе GNU libc. Доступны следующие обходные пути:

1. Установить локальный решатель BIND 9 на узел, возможно в режиме ретранслятора. BIND 9 будет использовать случайный выбор порта источника при отправке запросов по сети. (Могут использоваться и другие кешируюшие решатели.)

2. Использовать (при наличии) защиту от подделки IP адреса. Успешные атаки должны подделать адрес одного из решателей, что может оказаться невозможным в том случае, если сеть защищена от атак по подделке IP адресов (и со стороны внутренних, и со стороны внешних источников).

Данная рекомендация DSA будет обновлена, как только будут доступны заплаты для усиления безопасности решателя.