2008/7/28 TIsOrA TAIUVA <[EMAIL PROTECTED]>
>
>
>
> > Date: Mon, 28 Jul 2008 11:19:20 -0300
> > From: [EMAIL PROTECTED]
> > To: freebsd@fug.com.br
> > Subject: [FUG-BR] Bind cache poisoning
> >
> > Bom dia a todos,
> >
> > Atualizei o bind, mas mesmo assim ele continua vulnerável
> > conforme teste online que fiz no site abaixo:
> >
> > https://www.dns-oarc.net/oarc/services/dnsentropy
>
> Verifique no named.conf se você está usando a opção "query source port". Se
> sim, remova.
>
> >
> > Já testei as versões 9.4.2 e 9.5.0 aplicando os respectivos patches,
> porém
> > sem sucesso, aparentemente ele continua vulnerável a ataques do tipo
> cache
> > poisoning. Já tentei também instalar via ports (depois de atualizado com
> > portsnap), e até mesmo um "make installworld" (depois de atualizar
> /usr/src
> > com csup). A única solução mesmo é o DNSSEC?
>
> A randomização da porta de origem da consulta dificulta a ação do
> atancante, já que ele precisaria acertar a porta de origem + query id, além
> do spoofing do ip do servidor autoritativo.
> Como isso apenas dificulta, e não impede alguém de forjar uma resposta e
> seu servidor recursivo "engolir", a única solução hoje é o dnssec.
>
> >
> > Obrigado a todos pela atenção
> >
> > Samuel Peres
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
Boa noite,
Removi "query source port" do meu named.conf e "resolveu" o
problema.
Obrigado!
--
Samuel Peres
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
