Zadnji popravek: 13. 8. 2008
CVE oznaka: CVE-2008-1447
Opis
Pomanjkljivosti v samem DNS protokolu in njegovih različnih implemenacijah omogočajo zastrupjanje predpomnilnika (angl. cache poisoning). Z izrabo ranljivosti lahko napadalec podtakne lažne DNS podatke v predpomnilnik in tako preusmeri promet iz legitimnih na lažne strežnike. Uspešne metode izrabe ranljivosti so bile že demonstrirane in se v bodoče lahko uporabljajo za izvedbo naprednih “phishing” napadov (objavljena je tudi že Metasploit skripta).
Ranljive verzije:
- BIND verzija 8, verzija 9 pred 9.5.0-P1, 9.4.2-P1, in 9.3.5-P1,
- Microsoft DNS na Windows 2000 SP4, XP SP2 in SP3, ter Server 2003 SP1 in SP2,
- in različne druge implementacije.
Ali je vaš strežnik (oz. strežnik vašega ponudnika) ranljiv lahko preverite preko orodja na strani Doxpara Research. Kako zaščiteni so strežniki za vašo domeno pa lahko preverite preko spletnega obrazca organizacije IANA (Internet Assigned Numbers Authority).
Rešitev
Vsem ponudnikom dostopa do omrežja in storitev, ki uporabnikom nudijo rekurzivni DNS “resolver” svetujemo takojšnjo nadgradnjo DNS strežnika, bodisi preko nadgradenj operacijskega sistema oz. distribucije, ali samostojno. Na DNS strežniku je potrebno tudi uvesti povpraševanje iz naključnih vrat (angl. source port randomization), saj to pomembno zmanjša verjetnost zastrupljanja predpomnilnika. Upravitelji internih DNS strežnikov za lokalna omrežja ustanov lahko dodatno omejijo dostop do svoje DNS infrastrukture do nadgradnje.
Uporabniki ponudnikov, ki še niso namestili popravkov, lahko medtem uporabijo storitve OpenDNS. Preden se odločite za uporabo te storitve, si oglejte “OpenDNS Privacy Policy“.