Lücke im Bind 9 Server hat gravierende Folgen.

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22360
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Lücke im Bind 9 Server hat gravierende Folgen.

Beitrag von KBDCALLS » 26.07.2007 20:40:14

Fer Fehler ist im Zufallszahlengenrator. Dadurch wird die Transactions ID relativ leicht vohersagbar, und damit ist Server anfällig gegen Poisioning-Angriffe. (Vergiften) . mit andern Worten es können einem falsche Adressen unterjubelt werden. So das man auf Pishing Seiten landet.

http://www.heise.de/newsticker/meldung/93350
http://www.heise.de/security/news/meldung/93253
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Nach oben
Benutzeravatar
meandtheshell
Beiträge: 4054
Registriert: 14.01.2005 17:51:30

Beitrag von meandtheshell » 26.07.2007 21:13:44

Bind ist wegen seiner
- monolitischen Architektur
- von Anbeginn an ein moving target gewesen
nichts anderes als ein Problem. Die eine vulnerability mehr oder weniger ist bei dem unsinnigen dnsd auch schon egal ...

IMHO ist

Code: Alles auswählen

markusgattol@pc1:~$ acsh djbdns-installer | grep -A1 ^' \.' | cut -d '.' -f1 | grep 'is a'
 dnscache is a local DNS cache
 tinydns is a DNS server
 pickdns is a load-balancing DNS server
 walldns is a reverse DNS wall
 rbldns is an IP-address-listing DNS server
 axfrdns is a DNS zone-transfer server
markusgattol@pc1:~$
viel besser.


Markus
Nach oben
Pawel
Beiträge: 284
Registriert: 27.11.2006 03:59:39

Beitrag von Pawel » 26.07.2007 23:45:28

Man sollte sich allerdings auch mit den Schattenseiten von D.J. Bernstein DNS Server auseinander setzen:
1. die Lizenz, die die Verbeitung nur als Source Code erlaubt; deswegen auch der djbdns-installer
2. der DNS Cache (dnscache) übermittelt aus Sicherheitsbedenken an einen Client eine TTL (Time To Live; wie lange die Namensauflösung gültig ist) von 0 Sekunden. Das führt zum einem zu vielen DNS Anfragen (eher unrelevant) und zum anderem sind mir schon diverse Geräte vorgestellt worden (hauptsächlich VoIP Telefone), die damit Probleme haben, obwohl es in der RFC spezifiziert ist. Dieses nicht deaktivierbare SIcherheitsfeature mag in kleinen Netzwerken sinnvoll sein, aber in größeren Netzwerken (100+) würde ich einen anderen DNS Server nehmen.
Nach oben
Benutzeravatar
meandtheshell
Beiträge: 4054
Registriert: 14.01.2005 17:51:30

Beitrag von meandtheshell » 26.07.2007 23:51:53

- Fuer die TTL gibt es patches http://homepages.tesco.net/~J.deBoynePo ... blems.html
- die Lizenz ... naja GPL ware nat. besser aber man patched halt einfach ... ich sehe das Problem nicht

Zu Alternativen:
Solange es nicht BIND ist den man nimmt ist das wohl ok. Meine Meinung ist eben BIND ist Zeitverschwendung ...

Markus
Nach oben
azerty
Beiträge: 965
Registriert: 15.02.2007 20:18:17

Beitrag von azerty » 26.07.2007 23:58:34

OpenBSD bleibt dank proaktiver Sicherheit von diesem Sicherheitsfehler unberührt. [0]

Als BIND9 das erste Mal in OpenBSD eingeführt wurde entschieden sich die OpenBSD-Entwickler für eine bessere bzw. sicherere Alternative zum Default-Algorithmus. Jetzt hat sich das ausgezahlt.

Allerdings frage ich mich warum andere Projekte diese vom OpenBSD-Projekt vorgenommen Bemühungen und Optimierungen nicht in ihre Arbeit einfließen lassen...

OpenBSD Journal: OpenBSD & BIND 9 cache poisoning

PS: Theo hat im 7. Kommentar klargestellt, warum sich die Leute von BIND nicht auf die Lösung vom OpenBSD-Projekt einlassen wollten.
.
Nach oben
Antworten

Zurück zu „Sicherheit“