10.07.2008 14:54:54



Патч Windows, закрывающий DNS уязвимость, может негативно воздействовать на файерволы, включая ZoneAlarm.

Сайт BetaNews провёл тестирование критического патча, выпущенного вчера Microsoft для закрытия бреши в DNS протоколе и подтвердил, что он может негативно воздействовать на работу персональных фаерволов.

Начиная со вчерашнего дня многочисленные пользователи сообщают о неспособности их систем соединиться с интернетом после инсталляции патча KB951748. Эта заплатка делает значительные изменения в способе обработки DNS запросов. В частности, внедрена система, которая включает рандомизацию исходящего порта — мероприятие, которое должно усложнить хакерам возможность создавать фальшивые DNS ответы. Это очень важный патч, закрывающий ошибку, эксплоит для которой мог бы иметь катастрофические последствия. Уязвимость затрагивает не только Windows, но и Linux, а также роутеры и другое сетевое оборудование. Патч является результатом совместных усилий производителей программного и аппаратного обеспечений.

К сожалению из-за недостаточной кооперации между некоторыми фирмами некоторые программные фаерволы должны быть перенастроены или даже полностью отключены до тех пор, пока для них не появиться обновление.

В тесте на сайте BetaNews была инсталлирована последняя версия коммерческого фаервола ZoneAlarm Pro (версия 7.0.470, не бета) на Windows XP Professional SP3, работающей в виртуальной машине. Перед установкой патча было проверено интернет соединение чтобы убедиться в полной работоспособности. После установки патча KB951748 через Windows Update была произведена перезагрузка виртуальной машины, после чего соединение с интернетом не могло быть установлено. Никакая сетевая утилита или броузер не могли произвести соединение, даже программа ping. Соединение между вирутальной машиной и хостом, на котором она была установлена, работало и после установки обновления.

Решение проблемы очень простое: после изменения настроек безопасности ZoneAlarm Pro с High на Medium вновь появилась возможность выходить в интернет через броузер, однако команда ping продолжала выдавать таймауты.

Сайт BetaNews не рекомендует сбрасывать настройки базы данных ZoneAlarm как это рекомендуется в некоторых источниках.

На форуме ZoneAlarm есть два сообщения от администраторов, которые деинсталлировали патч Microsoft, восстановив работоспособность их систем, только чтобы узнать, что автоматическое обновление Windows инсталлирует патч заново как только соединение восстанавлвиается.

Проблемы с этим обновлением были однако предсказуемы — вчера в заявлении для корпоративных клиентов материнской компании ZoneAlarm, CheckPoint Software Technologies, было заявлено, что другие линейки продуктов уже предоставляют защиту от этой уязвимости, поэтому предлагалось повременить с инсталляцией патча, по крайней мере в ближайшее время.

«Угрозы отравления кеша DNS, такие как та, что была сегодня опубликована, наносят удар в самое сердце интернета», - заявил вице президент по продуктам сетевой безопасности Одед Гонда. «Продукты Check Point VPN-1 и Connectra не допускают, чтобы злоумышленникам удалось воспользоваться этой последней DNS уязвимостью, позволяя обойтись без немедленного применение патча внутри организации».

Это заявление, однако, не включало упоминание продуктов ZoneAlarm. Сайт BetaNews попытался связаться с CheckPoint и получить от них комментарий по поводу проблем связанных с нарушениями работы фаервола, но ответа еще не получил.

Источник http://www.xakep.ru/post/44395/default.asp