News
Exploits für DNS-Schwachstelle veröffentlicht
Seit Dienstag sind Details zur Design-Schwachstelle im DNS bekannt, seit gestern gibt es die ersten Exploits. Wer bisher gezögert hat, die vorhandenen Patches zu installieren, sollte das jetzt zügig tun, bevor er das Opfer einer Cache-Vergiftung wird.
Noch 'ne Katze?
Nach den Anfang der Woche bekannt gewordenen Details ist es möglich,
die Daten für eine bestimmte Adresse, z.B.
www.opfer.example, zu manipulieren. Genau das macht auch einer
der Exploits.
Anscheinend gibt es aber eine weitere Schwachstelle oder es sind noch nicht
alle Details der von Dan Kaminsky gefundenen Schwachstelle bekannt, denn
ein zweiter Exploit vergiftet gleich den kompletten Eintrag einer
Domain. Damit ist es einem Angreifer nicht nur möglich, gezielt eine
bestimmte Adresse wie z.B. die von www.opfer.example zu
manipulieren, sondern seinen eigenen Nameserver als Nameserver der Domain
opfer.example auszugeben. Empfängt der vergiftete
Nameserver danach Anfragen nach Servern in der Domain
opfer.example, z.B. mail.opfer.example, fragt er
beim Nameserver des Angreifers nach, der dann eine beliebige Adresse eines
Servers unter seiner Kontrolle als Antwort liefern kann.
Diese zusätzliche Möglichkeit für einen Angriff wurde laut des Exploits von Cedric Blancher entdeckt. Ob sie zuvor bereits von Dan Kaminsky entdeckt wurde, ist nicht bekannt.
Eins, zwei, drei, ...
Die beiden oben erwähnten Exploits stammen von I)ruid von Computer Academic Underground und H D Moore, dem Autor des Exploit-Frameworks Metasploit, für das die Exploits auch gedacht sind. Ein paar Informationen über die Entwicklung der Exploits gibt es im Metasploit-Blog.
Ein weiterer Exploit stammt von Julien Desfossez von SolisProject.Net. Erfahrungsgemäß wird es nicht bei diesen 3 Exploits bleiben, eine so prominente Schwachstelle wird sicher noch mehr Entwickler dazu bewegen, eigene Exploits zu veröffentlichen. Vor allem, da H D Moore für einen erfolgreichen Angriff mit 1-2 Minuten rechnet, während Dan Kaminsky von 10 Sekunden ausgeht - es besteht also noch Optimierungsbedarf. Sobald weitere Exploits bekannt werden, werde ich sie einem extra für diesen Zweck angelegten Eintrag in Security aktuell hinzufügen.
Patchen, patchen, patchen...
Die Katze ist nicht mehr nur aus dem Sack, sie ist bereits auf Mäusejagd. Wer einen cachenden Nameserver betreibt und den noch nicht gepatcht hat, sollte das so schnell wie möglich nachholen. Ist kein Patch verfügbar, empfiehlt Dan Kaminsky die Nutzung von OpenDNS oder anderer Anbieter, deren Server gepatcht sind.
Carsten Eilers
Links
-
Design-Schwachstelle in der DNS-Spezifikation gefährdet Internet
[http://entwickler.de/zonen/portale/psecom,id,126,news,44149,p,0.html] -
Details zur DNS-Schwachstelle durchgesickert
[http://entwickler.de/zonen/portale/psecom,id,126,news,44322,p,0.html] -
Security aktuell: Design-Schwachstelle im DNS-Protokoll erlaubt DNS-Cache-Poisoning
[http://entwickler.de/zonen/portale/psecom,id,250,security,22976,p,0.html]
Folgende Links könnten Sie auch interessieren
- Microsofts Patchday schließt 10 Schwachstellen
[http://entwickler.com/zonen/portale/psecom,id,99,news,44133,.html] - Social-Network-User im Visier
[http://entwickler.com/zonen/portale/psecom,id,99,news,44549,.html] - Microsofts Patchday beschert uns 10 Patches
[http://entwickler.com/zonen/portale/psecom,id,99,news,43670,.html] - KW 33/08 - Standpunkt Sicherheit
[http://entwickler.com/zonen/portale/psecom,id,99,news,44605,.html] - KW 28/08: Standpunkt Sicherheit
[http://entwickler.com/zonen/portale/psecom,id,99,news,44086,.html]
Suche
Werbung 
Top-Jobs
Software & Support Verlag GmbH
Volontär (w/m) Redaktion, VollzeitSoftware & Support Verlag GmbH
Junior & Senior Sales Manager Anzeigen Print/Online (m/w)Endress+Hauser GmbH+Co. KG
Entwickler Datenbanksysteme (m/w)Software & Support Verlag GmbH
Redakteur (m/w), VollzeitSignsoft GmbH
Java-Entwickler (m/w)Software & Support Verlag GmbH
Lektor (m/w), Vollzeit
aktuelle News
English News
WerbungWhitepaper
Security-Infos