Faille DNS : on a sauvé l'Internet !
Actu suivante
Révélée depuis quelques heures, une faille qui touche la conception même du protocole DNS (Domain Name System) aurait pu causer d’importants dommages et mettre en péril la stabilité de l’Internet tout entier. Rien que ça.
Des DNS empoisonnés
Dan Kaminsky, responsable des tests d’intrusion chez IOActive, est tombé sur cette faille il y a 6 mois, presque par hasard. Elle permettrait de modifier les données du cache du serveur (ou « cache poisoning ») et donc de rediriger les internautes vers une toute autre destination que celle voulue et ce bien entendu sans que l’internaute ne se rende compte de rien. Les risques pour les sites sensibles, tels les sites bancaires, sont donc bien réels.
Si la dangerosité de la faille est exceptionnelle, la réaction des différents acteurs du marché l’est tout autant. En effet, de grandes entreprises comme Microsoft, Cisco, Red Hat ou encore Sun Microsystems, discrètement averties par Dan Kaminsky, ont simultanément publié un patch pour régler ce problème sur leurs plateformes respectives. Il n’y aurait toutefois aucune raison de paniquer, aucun exploit n’étant à l’heure actuelle disponible. Les détails concernant cette faille ne devraient être révélées par Dan Kaminski lui-même qu’à l’occasion de la prochaine conférence Black Hat, le 6 août. Reste à espérer que d’ici là, les serveurs DNS de votre FAI ou de votre entreprise seront mis à jour.
Source : Diverses
-
Actualité précédente
DirectX 11 serait dévoilé dans 12 jours -
Actualité suivante
Votre casque, avec ou sans fil ? (Les...
Sujets relatifs sur le forum
Les offres du moment
![[10 ans] Rafi Haladjian](http://media.bestofmicro.com/rafi-Haladjian,A-P-233665-2.jpg)
[10 ans] Rafi Haladjian "Une année pure avant le pourrissement"
Aujourd'hui c'est Rafi Haladjian et son Nabaztag qui reviennent sur 1999. Lire la suite
-
[10 ans] Tristan Nitot "qui pouvait être assez fou pour vouloir...
Pour fêter nos 10 ans, nous publions à partir d’aujourd’hui les souvenirs et anecdotes de célébrités du web. Aujourd’hui, Tristan Nitot revient sur le visage bien particulier du Net en 1999. Lire la suite
-
Intégration et co-existence d'IPv6 en environnement résidentiel
Chaque semaine dans l’œil des experts, retrouvez l’avis personnel d’un professionnel high-tech en poste dans une des sociétés qui font notre actualité. Lire la suite
- SIEMENS INDUSTRY - MOBILITY - INGÉNIEUR SYSTÈME POSTE DE COMMANDE CENTRALISÉE (H/F)
- SIEMENS INDUSTRY - MOBILITY - INGENIEUR INTEGRATION ET VALIDATION LOGICIEL POUR LES EQUIPEMENTS VIDEO PHONIE (H/F)
- SIEMENS INDUSTRY - MOBILITY - CHEF DE PROJET INFORMATIQUE (H/F)
- SIEMENS IT SOLUTIONS & SERVICES - CONTRÔLEUR DE GESTION / GESTIONNAIRE DE PROJET (H/F)
- SIEMENS HEALTHCARE - WORKFLOW & SOLUTIONS - INGENIEUR DEVELOPPEMENT FRAMEWORK MUMPS (H/F)
- test radeon 5850
- test ecran lcd
- classement carte graphique 2009
- classement carte graphique 2009
- enregistreur disque dur
- z5500
- regler appareil photo
- p55
- capturer video youtube
- prise cpl develo
- graver jeux xbox telecharge
- numero assistance alice
- nouvel ipod classic
- config minimum gta 4
- www.nierle.fr
- dns-323
- commande console cs fps
- driver sch-u209 win7
- forum webachatfrance
- appariel photo psp
Et ben !
Il est où le patch ?
DTC
Non, tu aurais du dire en premier,
"Tout près ..."
Autant s'appliquer
Et ben !Il est où le patch ?
Si tu n'as pas de serveur DNS chez toi, le patch ne te sert à rien.
Si tu as un serveur DNS chez toi, il faut que tu te rapproches de l'éditeur du logiciel ou du fabricant du matériel
La conclusion à tirer?
Unix n'est pas plus fiable que Windows.
La conclusion à tirer?
Unix n'est pas plus fiable que Windows.
Source : PC Inpact
L'OS n'a rien à voir avec la faille ...
Merci le troll, mais faut repasser demain
La conclusion à tirer?Unix n'est pas plus fiable que Windows.
En l'occurence la faille n'a rien à voir avec tel ou tel OS, c'est un protocole qui est en cause, pas la conception des OS autour de ce protocole.
Bof, d'abord tous les serveurs DNS ne sont pas concernés (la plupart ne changent pas le port source de leur requête ou ne vérifient pas que les réponses arrivent sur le bon port ce qui facilite le poisoning, mais ce n'est pas le cas de tous les serveurs) et selon la configuration d'un serveur bugué l'impact peut également être nul (si vous êtes en forward-only le bug ne vous concerne pas si la chaîne de serveurs que vous utilisez est patchée).
De plus on ne sait pas grand chose de cette attaque et de sa faisabilité, donc avant de dire qu'on a sauvé Internet on pourrait attendre le 6 août afin de pouvoir juger sur pièces.
Bof, d'abord tous les serveurs DNS ne sont pas concernés (la plupart ne changent pas le port source de leur requête ou ne vérifient pas que les réponses arrivent sur le bon port ce qui facilite le poisoning, mais ce n'est pas le cas de tous les serveurs) et selon la configuration d'un serveur bugué l'impact peut également être nul (si vous êtes en forward-only le bug ne vous concerne pas si la chaîne de serveurs que vous utilisez est patchée).
De plus on ne sait pas grand chose de cette attaque et de sa faisabilité, donc avant de dire qu'on a sauvé Internet on pourrait attendre le 6 août afin de pouvoir juger sur pièces.
Les serveurs d'Orange seraient concernés (je sias pas pour les autres FAI), ça fait déjà pas mal de monde non ?
La conclusion à tirer?Unix n'est pas plus fiable que Windows.
C'est bien de montrer son ignorance en public : le seul serveur DNS qui utilisait déjà des ports sources aléatoires depuis le début et donc était immune contre ce genre d'attaque est djbdns et tourne sous Unix, pas Windows. Ceci dit comme le disent les autres posts la faille n'a pas grand chose à voir avec l'OS mais avec les spécifications du protocole qui ne garantissent pas sa sécurité (djbdns va plus loin que ce qui est spécifié pour être sécurisé, les autres se contentaient de suivre les specs).
Bof, d'abord tous les serveurs DNS ne sont pas concernés (la plupart ne changent pas le port source de leur requête ou ne vérifient pas que les réponses arrivent sur le bon port ce qui facilite le poisoning, mais ce n'est pas le cas de tous les serveurs) et selon la configuration d'un serveur bugué l'impact peut également être nul (si vous êtes en forward-only le bug ne vous concerne pas si la chaîne de serveurs que vous utilisez est patchée).De plus on ne sait pas grand chose de cette attaque et de sa faisabilité, donc avant de dire qu'on a sauvé Internet on pourrait attendre le 6 août afin de pouvoir juger sur pièces.
Ou tu sais, ou tu ne sais pas. Si tu sais, tu ne dis pas qu'on ne sait pas grand chose. Si tu ne sais pas, tu ne dis pas que tous les serveurs ne sont pas concernée, non ?
Les serveurs d'Orange seraient concernés (je sias pas pour les autres FAI), ça fait déjà pas mal de monde non ?
Oui, reste à savoir si la faille était réellement exploitable : on sait juste qu'il s'agit de poisoning dans des conditions pas évidentes, mais pas si on peut rediriger n'importe quelle adresse en quelques secondes pour tous les abonnés Orange par exemple ou si on a une chance sur un million d'y arriver en une journée (en supposant que les admins Orange ne se rendent pas compte de l'attaque).
De plus citer les banques abuse un peu : elles utilisent toutes SSL (https...) justement parce que le DNS n'est pas une infrastructure sécurisée. Donc seuls ceux qui passent outre les messages d'avertissement se feront plumer et franchement là on ne peut rien pour eux.
Si tu n'as pas de serveur DNS chez toi, le patch ne te sert à rien.
Si tu as un serveur DNS chez toi, il faut que tu te rapproches de l'éditeur du logiciel ou du fabricant du matériel
Merci
On sait que l'attaque consiste à faire croire à un serveur DNS qu'une réponse est valide (poisoning). A tout moment un attaquant dispose d'une chance sur 65536 de deviner le textid d'une requête DNS et donc de l'utiliser pour répondre à la place du serveur normal. La difficulté est de savoir vers quel serveur la requête va partir et pour quelle requête. Le seul type d'attaque disponible est donc d'arriver à deviner ces derniers éléments pour pas mal de requêtes pour une même adresse (en moyenne 32768) pour arriver à exploiter cette faille. C'est donc une technique de ce type que va exposer le chercheur en question (ça a déjà été confirmé, il suffit de lire son blog et ceux de ses confrères).
Si on rajoute un port source random, on multiplie par environ 60000 (ça dépend des limites des couches IP des OS). Il ne faut donc plus 32768 essais mais 2 milliards. D'où le fait que djbdns soit immune à l'attaque, cqfd.
Oui, reste à savoir si la faille était réellement exploitable : on sait juste qu'il s'agit de poisoning dans des conditions pas évidentes, mais pas si on peut rediriger n'importe quelle adresse en quelques secondes pour tous les abonnés Orange par exemple ou si on a une chance sur un million d'y arriver en une journée (en supposant que les admins Orange ne se rendent pas compte de l'attaque).De plus citer les banques abuse un peu : elles utilisent toutes SSL (https...) justement parce que le DNS n'est pas une infrastructure sécurisée. Donc seuls ceux qui passent outre les messages d'avertissement se feront plumer et franchement là on ne peut rien pour eux.
Si tu savais le nombre de personnes qui ne lisent pas les avertissements...
C'est plus facile de compter ceux qui les lisent !!
![[:m prof]](http://img.infos-du-net.com/forum/images/perso/m prof.gif)
Ou tu sais, ou tu ne sais pas. Si tu sais, tu ne dis pas qu'on ne sait pas grand chose. Si tu ne sais pas, tu ne dis pas que tous les serveurs ne sont pas concernée, non ?
Quatre posts, et tous pour dire que djbdns c'est plus mieux meilleur que le reste, et que les autres c'est nul parce que ça gère pas le randomize of the port of the DNS
Edit : Attention, ce post peut choquer les personnes les plus sensibles
Oh je suis pleinement conscient du nombre de personnes qui passent les avertissements. En plus on ne peut pas leur en vouloir : on leur cloque une machine sans leur expliquer quoi que ce soit et tout est censé être super intuitif. Ben en fait non, l'informatique et Internet ça n'a rien d'intuitif et il faut apprendre certaines choses pour avoir une petite idée de ce qu'on peut et on ne peut pas faire, mais bon, c'est un autre débat (l'instauration d'un "permis de conduire" sur Internet histoire d'éviter aux gens de se prendre un mur au bout du 4ème clic est il faisable ou même souhaitable ?).
Quatre posts, et tous pour dire que djbdns c'est plus mieux meilleur que le reste, et que les autres c'est nul parce que ça gère pas le randomize of the port of the DNS
Je n'ai rien dit de tel, ma critique était sur le sensationnalisme de l'article qui en plus n'explique pas grand chose, pour résumer c'est dans les grandes lignes d'un "dormez braves gens, la police du Net fait son travail" et ça m'irrite c'est tout.
Je n'ai cité djbdns que pour indiquer que sous Unix tu avais le choix d'un serveur DNS immune à cette faille parce qu'un troll y voyait l'occasion de sortir de son trou sur le couplet "Windows c'est aussi pire que le reste en fait".
Maintenant si tu penses que djbdns est mieux que le reste ça te regarde et franchement je m'en tape.
C'est bien de montrer son ignorance en public : le seul serveur DNS qui utilisait déjà des ports sources aléatoires depuis le début et donc était immune contre ce genre d'attaque est djbdns et tourne sous Unix, pas Windows. Ceci dit comme le disent les autres posts la faille n'a pas grand chose à voir avec l'OS mais avec les spécifications du protocole qui ne garantissent pas sa sécurité (djbdns va plus loin que ce qui est spécifié pour être sécurisé, les autres se contentaient de suivre les specs).
On sait que l'attaque consiste à faire croire à un serveur DNS qu'une réponse est valide (poisoning). A tout moment un attaquant dispose d'une chance sur 65536 de deviner le textid d'une requête DNS et donc de l'utiliser pour répondre à la place du serveur normal. La difficulté est de savoir vers quel serveur la requête va partir et pour quelle requête. Le seul type d'attaque disponible est donc d'arriver à deviner ces derniers éléments pour pas mal de requêtes pour une même adresse (en moyenne 32768) pour arriver à exploiter cette faille. C'est donc une technique de ce type que va exposer le chercheur en question (ça a déjà été confirmé, il suffit de lire son blog et ceux de ses confrères).
Si on rajoute un port source random, on multiplie par environ 60000 (ça dépend des limites des couches IP des OS). Il ne faut donc plus 32768 essais mais 2 milliards. D'où le fait que djbdns soit immune à l'attaque, cqfd.
Suivi de :
Je n'ai rien dit de tel, ma critique était sur le sensationnalisme de l'article qui en plus n'explique pas grand chose, pour résumer c'est dans les grandes lignes d'un "dormez braves gens, la police du Net fait son travail" et ça m'irrite c'est tout.
Je n'ai cité djbdns que pour indiquer que sous Unix tu avais le choix d'un serveur DNS immune à cette faille parce qu'un troll y voyait l'occasion de sortir de son trou sur le couplet "Windows c'est aussi pire que le reste en fait".
Maintenant si tu penses que djbdns est mieux que le reste ça te regarde et franchement je m'en tape.
Accessoirement, je fais comment pour installer ton djbmachintruc sous IOS ?
Ca, c'est pour Yanncik !! Alors, je peux poster ?
Ca, c'est pour Yanncik !! Alors, je peux poster ?
Enchanté
Suivi de :Accessoirement, je fais comment pour installer ton djbmachintruc sous IOS ?
Je ne vois pas à quoi ça sert de reposter mes posts hors contexte sachant que tout un chacun peut déjà les relire et se faire son opinion.
Sinon tu veux pas 100 balles et un mars en plus d'une réponse dont tu dois déjà savoir après recherche Google sur djbdns qu'elle n'a pas de sens ?
Ça m'apprendra à apporter des informations factuelles à des gens qui apparemment préfèrent troller.
Je ne vois pas à quoi ça sert de reposter mes posts hors contexte sachant que tout un chacun peut déjà les relire et se faire son opinion.
Sinon tu veux pas 100 balles et un mars en plus d'une réponse dont tu dois déjà savoir après recherche Google sur djbdns qu'elle n'a pas de sens ?
Ça m'apprendra à apporter des informations factuelles à des gens qui apparemment préfèrent troller.
Je ne les reposte pas hors contexte, je mettais juste en valeur le fait que tu indiques dans plusieurs posts que djbdns est le meilleur
Accessoirement ça aura au moins eu le mérite de me faire chercher ce que c'était, mes maigres connaissances se limitant à bind
Bon aller un dernier pour la route, mais bon...
Dire que djbdns n'est pas concerné par ce problème ne veut pas dire que c'est le meilleur serveur DNS. Et d'ailleurs je m'en fous je l'ai sorti à titre d'illustration tout comme j'aurais pu indiquer que le patch sorti par Microsoft et celui sorti par l'ISC (et très certainement tous les autres) ont tous les deux la même caractéristique : ils ajoutent une randomization du port source.
Maintenant puisque les rédacteurs en viennent à singer des commentaires factuels en utilisant un vocabulaire scato (je laisse les lecteurs remonter lire histoire d'avoir le contexte) au lieu d'être un minimum professionnel et de profiter de l'occasion pour continuer sur une discussion constructive, je ne vois pas ce que j'ai à faire sur ce site, donc bien le bonjour et bon courage.
" En une seule heure tant de richesses ont été détruites! Et tous les pilotes, tous ceux qui naviguent vers ce lieu, les marins, et tous ceux qui exploitent la mer, se tenaient éloignés,....."
Apocalypse 17
ca doit pas etre si peu exploitable que ca pcq si c'etait chaud a débusqué je sais pas s'ils l'avaient trouvé par hasard...
Bon aller un dernier pour la route, mais bon...
Dire que djbdns n'est pas concerné par ce problème ne veut pas dire que c'est le meilleur serveur DNS. Et d'ailleurs je m'en fous je l'ai sorti à titre d'illustration tout comme j'aurais pu indiquer que le patch sorti par Microsoft et celui sorti par l'ISC (et très certainement tous les autres) ont tous les deux la même caractéristique : ils ajoutent une randomization du port source.
Maintenant puisque les rédacteurs en viennent à singer des commentaires factuels en utilisant un vocabulaire scato (je laisse les lecteurs remonter lire histoire d'avoir le contexte) au lieu d'être un minimum professionnel et de profiter de l'occasion pour continuer sur une discussion constructive,
Tiens, il me semblait pourtant avoir placé un "
[...] je ne vois pas ce que j'ai à faire sur ce site, donc bien le bonjour et bon courage.
Tant pis, à la prochaine
Je ne sais pas si c'est en rapport, mais hier Windows m'a demandé d'installer un update et ça m'a tué ma connection internet. En allant sur le site de mon par-feu Zone-alarm (avec un autre pc bien sûr), j'ai constaté que le patch windows faisait planter Zone-alarm, et qu'il fallait installer une nouvelle version du par-feu. Vous voilà prévenu.
Je ne sais pas si c'est en rapport, mais hier Windows m'a demandé d'installer un update et ça m'a tué ma connection internet. En allant sur le site de mon par-feu Zone-alarm (avec un autre pc bien sûr), j'ai constaté que le patch windows faisait planter Zone-alarm, et qu'il fallait installer une nouvelle version du par-feu. Vous voilà prévenu.
Ouais, on sait tous maintenant que tu as merdé l'install d'une mise à jour ! Ça nous fait chaud au cœur !
C'est pas moi qui ai merdé.
C'est un problème reconnu:
http://download.zonealarm.com/bin/ [...] Issue.html