Vous avez fini de patcher SSH ? Patchez vos DNS !

Après la faille SSH, la faille DNS. Leur point commun ? Deux failles qui concernent tout le monde ou presque, et qui sont passées inaperçues pendant suffisamment longtemps pour que toute la planète soit impactée, du moins c’est ce que certains disent. Cette faille a été trouvée par Dan Kaminsky en début d’année mais ne l’a pas rendue publique, préférant en informer tous les éditeurs de produits DNS concernés, qui ont ensuite créé les correctifs. Ceux-ci sont disponibles depuis le 8 juillet, mais pour que la mayonnaise prenne il fallait ensuite communiquer sur ce souci. Le buzz, par le biais de Mogull, semble avoir bien fonctionné car tout le monde est au courant, à commencer par les grands média qui n’y comprennent pas grand chose mais soulignent que sans les correctifs adéquats, Internet aurait pu disparaître (!) Il ne faut pas grand chose pour exciter les média et journalistes généralistes, du moment que ça ressemble à un titre de thriller du genre « Global Collapse »… Je ne citerai personne mais ça frise le ridicule, d’autant plus que des problèmes de sécurité plus importants, il y en a tous les jours et on en parle moins, voire on agit moins.

En gros, que dire sur cette vulnérabilité ? Pas grand chose car Dan Kaminsky a décidé en accord avec les éditeurs d’attendre le 7 août pour présenter les détails du problème lors de sa conférence à la BlackHat. Il s’agit de « cache poisoning », ce qui signifie tout simplement que si une personne malveillante le voulait, elle pourrait polluer le serveur DNS pour que, lorsque vous pensez aller sur un site, vous alliez en réalité ailleurs.

Que faire ? Il faut patcher ! Et vite, car les correctifs sont disponibles, alors profitons-en.

  • Si vous avez Named/Bind , c’est ici, et ils ont marqué en gros ceci « YOU ARE ADVISED TO INSTALL EITHER THE PATCHES (9.5.0-P1, 9.4.2-P1, 9.3.5-P1) OR THE NEW BETA RELEASES (9.5.1b1, 9.4.3b2) IMMEDIATELY. » Le message est on ne peut plus clair ! Mais sincèrement… vous installeriez des versions béta immédiatement en production, vous ? Pas moi ! Ces versions bêta ont cependant un intérêt, car comme c’est expliqué plus loin sur leur page, le correctif ralentit considérablement le serveur DNS, et les auteurs de Bind ont du optimiser leurs algorithmes, ce que ces versions bêta prennent en compte. A vous de juger.

  • Si vous avez du Microsoft, Active Directory ou autres, c’est . Le bulletin MS08-37 est suivi du terme « Important », c’est pour dire. Là, normalement Windows Update devrait se charger de la correction, mais tout le monde n’active pas cette fonctionnalité sur leurs serveurs de prod… Bien entendu, cela touche **toutes **les versions de Windows, de 2000 à 2008 Server. Allez, on se dépêche pour patcher tout ça !

  • Chez Cisco, et tous les autres, il y a des correctifs prévus. Enfin presque tous ! Le serveurs DNS DJBDNS de Dan Bernstein (l’auteur de qmail), ainsi que PowerDNS de Bert Huber, par exemple, ne sont pas vulnérables, car depuis très longtemps ils veillent à choisir des ports source aléatoires et se veulent sécurisés, quoi qu’on en dise ou qu’on en pense.

Vous pourrez toujours voir ce qu’en pensent Sid et Stéphane Borzmeier, lire l’interview de Dan Bernstein, et je ne peux que vous conseiller d’aller tester si les serveurs DNS que vous utilisez sont vulnérables, à l’aide de l’outil mis à disposition par Dan Kaminsky sur son site, ou si vous préférez le faire vous-même, via le script perl de Michael C. Torren disponible ici.

Je vous confirme que tout ce que j’ai testé jusqu’à présent était vulnérable, mais c’est normal, il faut laisser le temps aux administrateurs systèmes pour qu’ils appliquent les correctifs, on ne patche pas DNS sur un coup de tête. Tiens, d’ailleurs même Yahoo qui avait le plus gros réseau de Bind 8 au monde s’est résigné à l’utiliser et a changé le tout, après discussion auprès de Dan. Comme quoi tout est possible.

Bon, le jour se lève, je vais aller patcher mes DNS au boulot 😉

Comments

Comment by Stéphane Bortzmeyer on 2008-07-10 10:30:03 +0200

Pour tester, on peut aussi utiliser le nouveau service de l’OARC :

% dig @208.78.97.155 +short porttest.dns-oarc.net TXT

z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.

« 208.78.97.155 is POOR: 22 queries in 0.6 seconds from 1 ports with std dev 0.00 »

Comment by Jco on 2008-08-25 16:33:15 +0200

Hello Bruno, ton post sur DNS me permet de t’envoyer notre nouveau fil RSS d’ITrust. J »y joins un trackback sur notre post concernant les DNS.

Bien à toi