Säkerhetsinformation / 2008 / Säkerhetsinformation -- DSA-1605-1 glibc

Säkerhetsbulletin från Debian

DSA-1605-1 glibc -- förgiftad DNS-cache

Rapporterat den:

2008-07-08

Berörda paket:

glibc

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2008-1447.
CERTs information om sårbarheter, bulletiner och incidenter: VU#800113.

Ytterligare information:

Dan Kaminsky upptäckte att egenskaper som finns hos DNS-protokollet gör det möjligt att i praktiken utföra DNS-förgiftningsangrepp. Bland annat kan framgångsrika angrepp leda till feldirigerad webbtrafik och omdirigering av e-post.

Det är förnärvarande inte möjligt att implementera den rekommenderade motåtgärden i GNU libc:s enkla namnserver. Det går att gå runt problemet på följande sätt:

1. Installera en lokal BIND 9-namnserver på maskinen, möjligen i forward-only-läge. BIND 9 kommer då att använda slumpning av källportar när det sänder anrop över nätverket. (Andra cachande namnservrar kan också användas.)

2. Lita på skydd mot IP-adressförfalskning, om tillgängligt. Ett lyckat angrepp måste förfalska adressen till en av namnservrarna, vilket kanske inte är möjligt om nätverket är korrekt skyddat mot IP-förfalskningsangrepp (både från interna och externa källor).

Denna bulletin kommer att uppdateras när patchar för att härda den enkla namnservern är tillgängliga.