On Thu, Jul 10, 2008 at 07:55:42AM +0200, Charles wrote: > Je suis surpris de ne pas avoir entendu parler de ça sur la liste
> http://www.isc.org/index.pl?/sw/bind/bind-security.php > http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447 > http://www.kb.cert.org/vuls/id/800113 > Je l'ai découvert hier via la ML d'OVH (merci Octave) et ce matin sur > France Inter (sic !) mais pas ici. > J'ai un peu honte d'être passé à côté en fait... > Est-ce que l'impact est très exagéré ? Qu'en pensez-vous ? L'histoire de ce trou est assez atypique en fait. Il a été découvert il y a quelque mois et les "fabriquants" de serveurs dns ont maintenu un silence de plomb pour que tout le monde sortent son patch en synchro. Maintenant sur le trou, l'isc place la sévérité à low. Mais ce qui m'inquiète le plus c'est que le trou se trouve dans la conception même du protocole et que les patch ne font que rendrent l'attaque plus compliqué. Sur les conséquences, le trou s'applique que sur les dns resolvers. Par conséquent, les serveurs les plus gênants sont les serveurs dns que les isp donnent à leurs clients par exemple. Vu que les systèmes dans les coeurs de nos réseaux sont servis, en général, par des machines dédiées à ça en interne et ne servent pas l'exterieur, cela "protège" les infrastructures je pense. Sur la façon dont est sorti le patch, la synchro part d'une bonne intention mais il me semble que les projets des différents OS n'ont pas été mis dans la confidence. Hier en quittant le boulot, FreeBSD n'avait pas sorti de patch pour le BIND de son base system. Je ne connais pas la situation sur les autres os/distrib. Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant participer activement l'utilisateur! (désolé pour le trip :-) A bientôt, -- Nicolas Haller - M2 Promo 2008 Si c'est Achille qui s'est amusé à ça, je le veux avant 48 heures à poil, Promenade des Anglais, attaché à un palmier à midi. -- Flic ou voyou, Michel Audiard --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
