Fer Fehler ist im Zufallszahlengenrator. Dadurch wird die Transactions ID relativ leicht vohersagbar, und damit ist Server anfällig gegen Poisioning-Angriffe. (Vergiften) . mit andern Worten es können einem falsche Adressen unterjubelt werden. So das man auf Pishing Seiten landet.
http://www.heise.de/newsticker/meldung/93350
http://www.heise.de/security/news/meldung/93253
Lücke im Bind 9 Server hat gravierende Folgen.
- KBDCALLS
- Moderator
- Beiträge: 22360
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Lücke im Bind 9 Server hat gravierende Folgen.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Bind ist wegen seiner
- monolitischen Architektur
- von Anbeginn an ein moving target gewesen
nichts anderes als ein Problem. Die eine vulnerability mehr oder weniger ist bei dem unsinnigen dnsd auch schon egal ...
IMHO ist
viel besser.
Markus
- monolitischen Architektur
- von Anbeginn an ein moving target gewesen
nichts anderes als ein Problem. Die eine vulnerability mehr oder weniger ist bei dem unsinnigen dnsd auch schon egal ...
IMHO ist
Code: Alles auswählen
markusgattol@pc1:~$ acsh djbdns-installer | grep -A1 ^' \.' | cut -d '.' -f1 | grep 'is a'
dnscache is a local DNS cache
tinydns is a DNS server
pickdns is a load-balancing DNS server
walldns is a reverse DNS wall
rbldns is an IP-address-listing DNS server
axfrdns is a DNS zone-transfer server
markusgattol@pc1:~$
Markus
Man sollte sich allerdings auch mit den Schattenseiten von D.J. Bernstein DNS Server auseinander setzen:
1. die Lizenz, die die Verbeitung nur als Source Code erlaubt; deswegen auch der djbdns-installer
2. der DNS Cache (dnscache) übermittelt aus Sicherheitsbedenken an einen Client eine TTL (Time To Live; wie lange die Namensauflösung gültig ist) von 0 Sekunden. Das führt zum einem zu vielen DNS Anfragen (eher unrelevant) und zum anderem sind mir schon diverse Geräte vorgestellt worden (hauptsächlich VoIP Telefone), die damit Probleme haben, obwohl es in der RFC spezifiziert ist. Dieses nicht deaktivierbare SIcherheitsfeature mag in kleinen Netzwerken sinnvoll sein, aber in größeren Netzwerken (100+) würde ich einen anderen DNS Server nehmen.
1. die Lizenz, die die Verbeitung nur als Source Code erlaubt; deswegen auch der djbdns-installer
2. der DNS Cache (dnscache) übermittelt aus Sicherheitsbedenken an einen Client eine TTL (Time To Live; wie lange die Namensauflösung gültig ist) von 0 Sekunden. Das führt zum einem zu vielen DNS Anfragen (eher unrelevant) und zum anderem sind mir schon diverse Geräte vorgestellt worden (hauptsächlich VoIP Telefone), die damit Probleme haben, obwohl es in der RFC spezifiziert ist. Dieses nicht deaktivierbare SIcherheitsfeature mag in kleinen Netzwerken sinnvoll sein, aber in größeren Netzwerken (100+) würde ich einen anderen DNS Server nehmen.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
- Fuer die TTL gibt es patches http://homepages.tesco.net/~J.deBoynePo ... blems.html
- die Lizenz ... naja GPL ware nat. besser aber man patched halt einfach ... ich sehe das Problem nicht
Zu Alternativen:
Solange es nicht BIND ist den man nimmt ist das wohl ok. Meine Meinung ist eben BIND ist Zeitverschwendung ...
Markus
- die Lizenz ... naja GPL ware nat. besser aber man patched halt einfach ... ich sehe das Problem nicht
Zu Alternativen:
Solange es nicht BIND ist den man nimmt ist das wohl ok. Meine Meinung ist eben BIND ist Zeitverschwendung ...
Markus
OpenBSD bleibt dank proaktiver Sicherheit von diesem Sicherheitsfehler unberührt. [0]
Als BIND9 das erste Mal in OpenBSD eingeführt wurde entschieden sich die OpenBSD-Entwickler für eine bessere bzw. sicherere Alternative zum Default-Algorithmus. Jetzt hat sich das ausgezahlt.
Allerdings frage ich mich warum andere Projekte diese vom OpenBSD-Projekt vorgenommen Bemühungen und Optimierungen nicht in ihre Arbeit einfließen lassen...
OpenBSD Journal: OpenBSD & BIND 9 cache poisoning
PS: Theo hat im 7. Kommentar klargestellt, warum sich die Leute von BIND nicht auf die Lösung vom OpenBSD-Projekt einlassen wollten.
Als BIND9 das erste Mal in OpenBSD eingeführt wurde entschieden sich die OpenBSD-Entwickler für eine bessere bzw. sicherere Alternative zum Default-Algorithmus. Jetzt hat sich das ausgezahlt.
Allerdings frage ich mich warum andere Projekte diese vom OpenBSD-Projekt vorgenommen Bemühungen und Optimierungen nicht in ihre Arbeit einfließen lassen...
OpenBSD Journal: OpenBSD & BIND 9 cache poisoning
PS: Theo hat im 7. Kommentar klargestellt, warum sich die Leute von BIND nicht auf die Lösung vom OpenBSD-Projekt einlassen wollten.
.