Bonjour, J'envoie ce message à titre personnel et ce message n'engage que moi (et donc pas mon employeur) :
On 10 Jul, Nicolas Haller wrote: | On Thu, Jul 10, 2008 at 07:55:42AM +0200, Charles wrote: | > Je suis surpris de ne pas avoir entendu parler de ça sur la liste | | > http://www.isc.org/index.pl?/sw/bind/bind-security.php | > http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447 | > http://www.kb.cert.org/vuls/id/800113 | | > Je l'ai découvert hier via la ML d'OVH (merci Octave) et ce matin sur | > France Inter (sic !) mais pas ici. | | > J'ai un peu honte d'être passé à côté en fait... | | > Est-ce que l'impact est très exagéré ? Qu'en pensez-vous ? | | L'histoire de ce trou est assez atypique en fait. Il a été découvert il | y a quelque mois et les "fabriquants" de serveurs dns ont maintenu un | silence de plomb pour que tout le monde sortent son patch en synchro. | | Maintenant sur le trou, l'isc place la sévérité à low. Mais ce qui ^^^ ==> Attention ! Je ne sais pas où vous avez trouvé cette info, mais moi je m'alimente à la source et je lis "Severity High" (c'est dans le premier URL que cous citez ci-dessus) : http://www.isc.org/index.pl?/sw/bind/bind-security.php | m'inquiète le plus c'est que le trou se trouve dans la conception même | du protocole et que les patch ne font que rendrent l'attaque plus | compliqué. | | Sur les conséquences, le trou s'applique que sur les dns resolvers. Par | conséquent, les serveurs les plus gênants sont les serveurs dns que les | isp donnent à leurs clients par exemple. Vu que les systèmes dans les | coeurs de nos réseaux sont servis, en général, par des machines dédiées | à ça en interne et ne servent pas l'exterieur, cela "protège" les | infrastructures je pense. ==> Attention ! Vous semblez parler des serveurs récursifs de la protection des serveurs récursifs "non ouverts" vs "ouverts". D'après http://www.kb.cert.org/vuls/id/800113 cette faille touche les serveurs OUVERTS et NON OUVERTS, même si la difficulté de l'attaque n'est pas forcément la même (un paragraphe subtile à la section "II Solution ; "Restrict Access" explique l'intérêt à être prudent). Pour info, l'AFNIC a relayé hier cette alerte à l'ensemble de ces bureaux d'enregistrement (registrars) dont une bonne partie sont des ISP. Vous pouvez par exemple lire : http://operations.nic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html | Sur la façon dont est sorti le patch, la synchro part d'une bonne | intention mais il me semble que les projets des différents OS n'ont pas | été mis dans la confidence. Hier en quittant le boulot, FreeBSD n'avait | pas sorti de patch pour le BIND de son base system. Je ne connais pas la | situation sur les autres os/distrib. ==> Oui en effet, certains éditeurs d'OS semblent ne pas réagir à temps. | Enfin pour l'avenir, vu que le trou est dans le protocole, peut-être | verrons-nous arriver le DNS 2.0 qui sera plus interactif et faisant | participer activement l'utilisateur! (désolé pour le trip :-) ==> Comme le sera sans doute l'IP collaboratif 2.0, à commencer par le BGP collaboratif 2.0 ;-) Mohsen. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
