Säkerhetsbulletin från Debian
DSA-1605-1 glibc -- förgiftad DNS-cache
- Rapporterat den:
- 2008-07-08
- Berörda paket:
- glibc
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2008-1447.
CERTs information om sårbarheter, bulletiner och incidenter: VU#800113. - Ytterligare information:
-
Dan Kaminsky upptäckte att egenskaper som finns hos DNS-protokollet gör det möjligt att i praktiken utföra DNS-förgiftningsangrepp. Bland annat kan framgångsrika angrepp leda till feldirigerad webbtrafik och omdirigering av e-post.
Det är förnärvarande inte möjligt att implementera den rekommenderade motåtgärden i GNU libc:s enkla namnserver. Det går att gå runt problemet på följande sätt:
1. Installera en lokal BIND 9-namnserver på maskinen, möjligen i forward-only-läge. BIND 9 kommer då att använda slumpning av källportar när det sänder anrop över nätverket. (Andra cachande namnservrar kan också användas.)
2. Lita på skydd mot IP-adressförfalskning, om tillgängligt. Ett lyckat angrepp måste förfalska adressen till en av namnservrarna, vilket kanske inte är möjligt om nätverket är korrekt skyddat mot IP-förfalskningsangrepp (både från interna och externa källor).
Denna bulletin kommer att uppdateras när patchar för att härda den enkla namnservern är tillgängliga.