Bīstama DNS ievainojamība

Es vakar pamanīju, ka dažādos avotos tiek minēts par ļoti nopietnu DNS protokola ievainojamību, kas attiecas gan uz serveriem, gan var attiekties arī uz klientiem.

Today, CERT is issuing an advisory for a massive multivendor patch to resolve a major issue in DNS that could allow attackers to easily compromise any name server (it also affects clients). Dan Kaminsky discovered the flaw early this year and has been working with a large group of vendors on a coordinated patch.

Ir arī laba ziņa. Lai arī tā ir ļoti nopietna ievainojamība, tomēr ielāpa analīze īpaši nelīdzēs ļaundariem, kas gribēs izveidot exploitu.

The issue is extremely serious, and all name servers should be patched as soon as possible. Updates are also being released for a variety of other platforms since this is a problem with the DNS protocol itself, not a specific implementation. The good news is this is a really strange situation where the fix does not immediately reveal the vulnerability and reverse engineering isn’t directly possible.

Pārbaudīt vai tavs DNS serveris ir ievainojams var Dan Kaminsky lapā. Labajā pusē būs poga “Check My DNS”. Es pārbaudīju serveri, kas man ir ierakstīts kā viens no DNS serveriem un redz, ko man parādīja. Tā ir vecā NIC adrese, ko tagad administrē LATNET.

Your name server, at 159.148.60.20, appears vulnerable to DNS Cache Poisoning.

Tā kā, ja nekas netiks darīts, tad var rasties problēmas. Sīkāk par problēmu tehniskiem cilvēkiem un netehniskiem.

Jāatzīmē, ka Latvijas NIC DNS serveris (ns.nic.lv) jau ir salāpīts.

Your name server, at 91.198.156.20, appears to be safe.

Atgādināšu, ka pirms kāda laika NIC nomainīja galvenajam Latvijas DNS serverim IP adresi. Cepuri nost NIC (vai SigmaNet?) par operatīvu darbu.

9 thoughts on “Bīstama DNS ievainojamība

  1. snpz

    Ehmm, patiesībā ziņa kā tāda diezgan veca un diezin vai var teikt “cepuri nost NIC utt.”, jo par ievainojamību man šķiet jau tika ziņots nedēļas sākumā. Būtu dīvaini, ja viņi nebūtu to salāpījuši uz doto brīdi.

    Atbildēt
  2. kas

    8.julijs pēc amerikāņu laika, kad ziņa tika publiskota. Labojumi tika gatavoti slepenībā jau kādu laiku atpakaļ.
    Bet jāpiekrīt, ka drīzāk fuj visiem tiem, ieskaitot lattelekom, kur dns nav salabots, jo nekas netraucētu man tagad ierakstīt pods.lv un mani aizsūtītu uz laacz.lv domēnu! ;))

    Jocīgi ka BIND neatsūtīja nekādu ziņu uz emailu, šodien par šo izlasīju “Dienā”!?!! un uzliku jaunāko versiju.

    Atbildēt
  3. bum

    Besīgi, ka apollo (lattelecom) protams slinko.. nesaprotu par ko vinju adminiem maksaa naudu.. kautkaa man tas viss asocieejas ar kaudzi cilveekiem kuri neko nedara bet sanjem algu.

    Atbildēt
  4. Atbalss: Tomato 1.20 | Pods.lv

  5. Edgars Koroņevskis

    arvien nekas nav izlabots Apollo internetam. Varbūt nosūtīt īpašu uzaicinājumu helpdesk’am, lai viņi to salabo? Your name server, at 195.122.12.242, appears vulnerable to DNS Cache Poisoning.

    Atbildēt
  6. petruha

    Nesaprotu, ko var tā stresot. Par cik info par šo ievainojamību ilgu laiku bija tikai dažu uzņēmumu rīcībā, daudzi software developeri vēl vienkārši nav paspējuši apdeitot savas OS. Diemžēl daudzās OS DNS servisi ir pielāgoti savām vajadzībām, tāpēc noapdeitot tos uz pēdējo versiju nav nemaz tik vienkārši. Šķiet muļķīgi, ja Apollo/u.c. kompilētu paši savu BIND. Tāpat arī ievainojamība dotajā brīdī nav kritiska, par cik nekas neliecina, ka kādam, kam nevajadzētu, ir pieejama info par to, kā tā darbojās.

    Atbildēt
  7. bum

    hm,
    apollo DNS tagad rāda šitādu:

    “Your name server, at 195.122.12.241, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.Requests seen for 2599515159df.toorrr.com:
    195.122.12.241:43146 TXID=1265
    195.122.12.241:51489 TXID=44441
    195.122.12.241:48085 TXID=15026
    195.122.12.241:65362 TXID=64213
    195.122.12.241:55791 TXID=22977”

    Mesaprotu , kas ir domāts ar ‘obvious pattern’ ?!

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *