Säkerhetsbulletin från Debian

DSA-1605-1 glibc -- förgiftad DNS-cache

Rapporterat den:
2008-07-08
Berörda paket:
glibc
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2008-1447.
CERTs information om sårbarheter, bulletiner och incidenter: VU#800113.
Ytterligare information:

Dan Kaminsky upptäckte att egenskaper som finns hos DNS-protokollet gör det möjligt att i praktiken utföra DNS-förgiftningsangrepp. Bland annat kan framgångsrika angrepp leda till feldirigerad webbtrafik och omdirigering av e-post.

Det är förnärvarande inte möjligt att implementera den rekommenderade motåtgärden i GNU libc:s enkla namnserver. Det går att gå runt problemet på följande sätt:

1. Installera en lokal BIND 9-namnserver på maskinen, möjligen i forward-only-läge. BIND 9 kommer då att använda slumpning av källportar när det sänder anrop över nätverket. (Andra cachande namnservrar kan också användas.)

2. Lita på skydd mot IP-adressförfalskning, om tillgängligt. Ett lyckat angrepp måste förfalska adressen till en av namnservrarna, vilket kanske inte är möjligt om nätverket är korrekt skyddat mot IP-förfalskningsangrepp (både från interna och externa källor).

Denna bulletin kommer att uppdateras när patchar för att härda den enkla namnservern är tillgängliga.