Karantin
24.07.2008, 15:22
Недавно Дэн Камински озвучил серьезную уязвимость, dns cache poisoning, технические детали которой он собирался раскрыть на предстоящей BLACKHAT 2008.
Dan Kaminsky today announced a massive, multi-vendor issue with DNS that could allow attackers to compromise any name server - clients, too. Kaminsky also announced that he had been working for months with a large number of major vendors to create and coordinate today's release of a patch to deal with the vulnerability.
Дэн просил не спекулировать на найденной уязвимости, но секрет можно сохранить в тайне, если его знают двое, причем один из них мертв ;), и шустрые ребята из Matasano опубликовали свое видение проблемы:
Pretend for the moment that you know only the basic function of DNS — that it translates WWW.VICTIM.COM into 1.2.3.4. The code that does this is called a resolver. Each time the resolver contacts the DNS to translate names to addresses, it creates a packet called a query. The exchange of packets is called a transaction. Since the number of packets flying about on the internet requires scientific notation to express, you can imagine there has to be some way of not mixing them up.
По сообщениям западных секюрити аналитиков описание бага было слишком информативным,
чем не замедлили воспользоваться |)ruid и H D Moore (metasploit.com) и написали DNS Cache Poisoning Flaw Exploit (http://www.caughq.org/exploits/CAU-EX-2008-0002.txt).
Дэн Камински отреагировал в твиттере:
DNS bug is public. You need to patch, or switch to opendns, RIGHT NOW. could
Тем временем HD Moore выкладывает вторую версию эксплоита (более эффективную) на метасплоит:
We just added a second exploit which replaces the nameservers of the target domain. This is the bug people should actually care about, since it doesn't matter if anything is already cached.
Разбирать тут эксплоит смысла не вижу, по ссылке он есть, интересуют мысли по этому поводу. Интернет опасносте?
Dan Kaminsky today announced a massive, multi-vendor issue with DNS that could allow attackers to compromise any name server - clients, too. Kaminsky also announced that he had been working for months with a large number of major vendors to create and coordinate today's release of a patch to deal with the vulnerability.
Дэн просил не спекулировать на найденной уязвимости, но секрет можно сохранить в тайне, если его знают двое, причем один из них мертв ;), и шустрые ребята из Matasano опубликовали свое видение проблемы:
Pretend for the moment that you know only the basic function of DNS — that it translates WWW.VICTIM.COM into 1.2.3.4. The code that does this is called a resolver. Each time the resolver contacts the DNS to translate names to addresses, it creates a packet called a query. The exchange of packets is called a transaction. Since the number of packets flying about on the internet requires scientific notation to express, you can imagine there has to be some way of not mixing them up.
По сообщениям западных секюрити аналитиков описание бага было слишком информативным,
чем не замедлили воспользоваться |)ruid и H D Moore (metasploit.com) и написали DNS Cache Poisoning Flaw Exploit (http://www.caughq.org/exploits/CAU-EX-2008-0002.txt).
Дэн Камински отреагировал в твиттере:
DNS bug is public. You need to patch, or switch to opendns, RIGHT NOW. could
Тем временем HD Moore выкладывает вторую версию эксплоита (более эффективную) на метасплоит:
We just added a second exploit which replaces the nameservers of the target domain. This is the bug people should actually care about, since it doesn't matter if anything is already cached.
Разбирать тут эксплоит смысла не вижу, по ссылке он есть, интересуют мысли по этому поводу. Интернет опасносте?