Vous avez fini de patcher SSH ? Patchez vos DNS !

AprĂšs la faille SSH, la faille DNS. Leur point commun ? Deux failles qui concernent tout le monde ou presque, et qui sont passĂ©es inaperçues pendant suffisamment longtemps pour que toute la planĂšte soit impactĂ©e, du moins c’est ce que certains disent. Cette faille a Ă©tĂ© trouvĂ©e par Dan Kaminsky en dĂ©but d’annĂ©e mais ne l’a pas rendue publique, prĂ©fĂ©rant en informer tous les Ă©diteurs de produits DNS concernĂ©s, qui ont ensuite crĂ©Ă© les correctifs. Ceux-ci sont disponibles depuis le 8 juillet, mais pour que la mayonnaise prenne il fallait ensuite communiquer sur ce souci. Le buzz, par le biais de Mogull, semble avoir bien fonctionnĂ© car tout le monde est au courant, Ă  commencer par les grands mĂ©dia qui n’y comprennent pas grand chose mais soulignent que sans les correctifs adĂ©quats, Internet aurait pu disparaĂźtre (!) Il ne faut pas grand chose pour exciter les mĂ©dia et journalistes gĂ©nĂ©ralistes, du moment que ça ressemble Ă  un titre de thriller du genre « Global Collapse »… Je ne citerai personne mais ça frise le ridicule, d’autant plus que des problĂšmes de sĂ©curitĂ© plus importants, il y en a tous les jours et on en parle moins, voire on agit moins.

En gros, que dire sur cette vulnĂ©rabilitĂ© ? Pas grand chose car Dan Kaminsky a dĂ©cidĂ© en accord avec les Ă©diteurs d’attendre le 7 aoĂ»t pour prĂ©senter les dĂ©tails du problĂšme lors de sa confĂ©rence Ă  la BlackHat. Il s’agit de « cache poisoning », ce qui signifie tout simplement que si une personne malveillante le voulait, elle pourrait polluer le serveur DNS pour que, lorsque vous pensez aller sur un site, vous alliez en rĂ©alitĂ© ailleurs.

Que faire ? Il faut patcher ! Et vite, car les correctifs sont disponibles, alors profitons-en.

  • Si vous avez Named/Bind , c’est ici, et ils ont marquĂ© en gros ceci « YOU ARE ADVISED TO INSTALL EITHER THE PATCHES (9.5.0-P1, 9.4.2-P1, 9.3.5-P1) OR THE NEW BETA RELEASES (9.5.1b1, 9.4.3b2) IMMEDIATELY. » Le message est on ne peut plus clair ! Mais sincĂšrement… vous installeriez des versions bĂ©ta immĂ©diatement en production, vous ? Pas moi ! Ces versions bĂȘta ont cependant un intĂ©rĂȘt, car comme c’est expliquĂ© plus loin sur leur page, le correctif ralentit considĂ©rablement le serveur DNS, et les auteurs de Bind ont du optimiser leurs algorithmes, ce que ces versions bĂȘta prennent en compte. A vous de juger.
  • Si vous avez du Microsoft, Active Directory ou autres, c’est lĂ . Le bulletin MS08-37 est suivi du terme « Important », c’est pour dire. LĂ , normalement Windows Update devrait se charger de la correction, mais tout le monde n’active pas cette fonctionnalitĂ© sur leurs serveurs de prod… Bien entendu, cela touche toutes les versions de Windows, de 2000 Ă  2008 Server. Allez, on se dĂ©pĂȘche pour patcher tout ça !
  • Chez Cisco, et tous les autres, il y a des correctifs prĂ©vus. Enfin presque tous ! Le serveurs DNS DJBDNS de Dan Bernstein (l’auteur de qmail), ainsi que PowerDNS de Bert Huber, par exemple, ne sont pas vulnĂ©rables, car depuis trĂšs longtemps ils veillent Ă  choisir des ports source alĂ©atoires et se veulent sĂ©curisĂ©s, quoi qu’on en dise ou qu’on en pense.

Vous pourrez toujours voir ce qu’en pensent Sid et StĂ©phane Borzmeier, lire l’interview de Dan Bernstein, et je ne peux que vous conseiller d’aller tester si les serveurs DNS que vous utilisez sont vulnĂ©rables, Ă  l’aide de l’outil mis Ă  disposition par Dan Kaminsky sur son site, ou si vous prĂ©fĂ©rez le faire vous-mĂȘme, via le script perl de Michael C. Torren disponible ici.

Je vous confirme que tout ce que j’ai testĂ© jusqu’Ă  prĂ©sent Ă©tait vulnĂ©rable, mais c’est normal, il faut laisser le temps aux administrateurs systĂšmes pour qu’ils appliquent les correctifs, on ne patche pas DNS sur un coup de tĂȘte. Tiens, d’ailleurs mĂȘme Yahoo qui avait le plus gros rĂ©seau de Bind 8 au monde s’est rĂ©signĂ© Ă  l’utiliser et a changĂ© le tout, aprĂšs discussion auprĂšs de Dan. Comme quoi tout est possible.

Bon, le jour se lùve, je vais aller patcher mes DNS au boulot 😉

Ce contenu a été publié dans IT Security. Vous pouvez le mettre en favoris avec ce permalien.

4 réponses à Vous avez fini de patcher SSH ? Patchez vos DNS !

  1. Pour tester, on peut aussi utiliser le nouveau service de l’OARC :

    % dig @208.78.97.155 +short porttest.dns-oarc.net TXT
    z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
    « 208.78.97.155 is POOR: 22 queries in 0.6 seconds from 1 ports with std dev 0.00 »

  2. Ping : Un peu de tout » Blog Archive » faille critique DNS : tester votre serveur DNS (ou celui de votre provider)

  3. Ping : Ma petite parcelle d'Internet...

  4. Jco dit :

    Hello Bruno, ton post sur DNS me permet de t’envoyer notre nouveau fil RSS d’ITrust. J »y joins un trackback sur notre post concernant les DNS.

    Bien Ă  toi

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *