Le 10 juil. 08 à 08:34, Nicolas Haller a écrit :
On Thu, Jul 10, 2008 at 07:55:42AM +0200, Charles wrote:
Je suis surpris de ne pas avoir entendu parler de ça sur la liste
Tant qu'il y avait peu de détails précis sur la nature de la
vulnérabilité c'était probablement un peu difficile d'en parler.
Surtout quand certaines personnes plutôt respectables tendait à douter
un peu de l'impact de la vulnérabilité :
http://www.matasano.com/log/1089/dan-kaminsky-could-have-made-hundreds-of-thousands-of-dollars-with-this-dns-flaw/
http://sid.rstack.org/blog/index.php/283-dns-dns-dns
Et puis surtout à lire les quelques advisories, ça parlait de birthday
paradox attack et de DNS transaction ID, choses dont on parle depuis
longtemps (je me souviens d'un article sur Security Focus qui doit
dater de 2002/2003 dont je ne retrouve plus la trace). Par exemple : http://www.lurhq.com/dnscache.pdf
Le truc nouveau (en tout cas pour moi), c'est qu'il y a une histoire
de sélection non aléatoire de port source pour la génération de
requêtes qui semble rendre l'attaque plus facile et/ou plus dangereuse.
Est-ce que l'impact est très exagéré ? Qu'en pensez-vous ?
On continue à être très léger sur les détails puisque Dan Kaminsky se
garde tout ça jusqu'à son talk à la prochaine Black Hat mais il y a
encore une fois des gens plutôt respectables qui confirme la sévérité :
http://securosis.com/2008/07/09/more-on-the-dns-vulnerability/
http://www.matasano.com/log/1093/patch-your-non-djbdns-server-now-dan-was-right-i-was-wrong/
http://blog.trailofbits.com/2008/07/09/dan-kaminsky-disqualified-from-most-overhyped-bug-pwnie/
Sur la façon dont est sorti le patch, la synchro part d'une bonne
intention mais il me semble que les projets des différents OS n'ont
pas
été mis dans la confidence. Hier en quittant le boulot, FreeBSD
n'avait
pas sorti de patch pour le BIND de son base system. Je ne connais
pas la
situation sur les autres os/distrib.
Tu pars du boulot trop tôt ! :)
http://docs.freebsd.org/cgi/getmsg.cgi?fetch=1042682+0+current/cvs-all
Le détails "amusant" c'est qu'apparemment il n'y a pas de fix pour
BIND 8. Ce qui veulent garder BIND doivent migrer vers BIND 9. Cela
dit il y a déjà quelques alernatives, plus ou moins utilisables :
http://www.gcu.info/2008/05/i-can-has-dnz-queriez/
Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être
verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant
participer activement l'utilisateur! (désolé pour le trip :-)
Après toutes les attaques niveau protocole qu'il y a eu depuis 15 ans
sur TCP, on a pas vu pour autant TCP 2.0, juste des corrections au cas
par cas. Certes il y a eu SCTP qui en intègre une bonne partie mais il
a été créé pour des raisons bien distinctes de la sécurité.
Par contre je sens bien un gros push pour déployer DNSSEC. Faut que je
révise ça vite fait, ça me fera du travail pour l'année :)
--eberkut---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
