DNS servery je třeba záplatovat. Ihned

14. 7. 2008

Sdílet

Paul Mockapetris, jeden z autorů celé architektury internetových domén, varuje, že správci IT by měli své DNS servery ihned aktualizovat. Minulý týden zveřejněná chyba v přenosových protokolech má být jedna z nejvážnějších v celé historii DNS vůbec.

Paul Mockapetris, jeden z autorů celé architektury internetových domén, varuje, že správci IT by měli své DNS servery ihned aktualizovat. Čas, kdy se chyba stane rozsáhle zneužívanou, totiž podle Mockapetrise rychle odtikává.

Minulý týden zveřejněná chyba v přenosových protokolech má být jedna z nejvážnějších v celé historii DNS vůbec. Týká se přímo způsobu, jak se v rámci protokolu vytváří odpověď na DNS dotaz. Mockapetris varuje, že je třeba aktualizovat DNS servery, cache servery i některá klientská zařízení s vestavěným softwarem, například DSL modemy.
Zneužití objevil na Security Worldu již několikrát zmiňovaný Dan Kaminski (viz článek Jak ovládnout router), výzkumník ve firmě IOActive.
Chyba umožňuje útočníkovi zásahem do DNS velmi snadno přesměrovat webový i e-mailový provoz na servery, které má pod kontrolou. Zranitelné jsou podle všeho prakticky všechny stávající servery DNS.
Americký CERT již vydal seznam zařízení asi 80 dodavatelů, jichž se chyba týká. Jsou mezi nimi Microsoft, Cisco, Sun či Red Hat (seznam zde).
Mockapetris dodává, že na Kaminského exploitu není nový jeho samotný koncept, ale nevídaná efektivita tohoto postupu. Kdokoliv může tímto způsobem podvrhnout data do cache DNS serveru za 10 až 20 minut (v závislosti na dostupné šířce pásma).

Zdroj: Computerworld.com

Viz také:
DNSSEC: Doména cz má být bezpečnější
Úspěšný útok na servery organizací, které řídí celý Internet

Autor článku