[LACNIC/Seguridad] DNS cache poisoning

Fernando Gont fernando en gont.com.ar
Vie Jul 11 01:21:14 BRT 2008


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Estimados,

Algunos comentarios sobre los alertas recientes sobre la vulnerabilidad de
"cache poisoning". Es interesante destacar que la vulnerabilidad reportada
no es propia del protocolo DNS, sino que, si bien es sufrieda por una
variedad de implementaciones, dicha vulnerabilidad reside en un error de
*implementación*, y no de protocolo.

Básicamente, el problema en cuestión es que las implementaciones
efectadas envían sucesivas peticiones DNS utilizando un mismo TCP source
port, por lo cual se facilita notablemente la realización del llamado "DNS
cache poisoning". Ninguna de las especificaciones de DNS requieren esto.

De hecho, la implementación de DNS djbdns no es vulnerable a este ataque.

Pese a la publicidad que ha recibido esta vulnerabilidad en los últimos
días, esta vulnerabilidad ya había sido discutida publicamente en detalle
por D. J. Berstein al menos en el año 2001
(http://groups.google.com/group/mailing.unix.bind-users/msg/92f94d2f940cdfa
b).

(At the risk of sounding our own horn ;-) ), la vulnerabilidad en cuestión
podría haber sido prevenida implementando aleatorización de puertos
("port randomization") de acuerdo a alguna de las técnicas descriptas en
nuestro Internet-Draft de la IETF
(http://www.gont.com.ar/drafts/port-randomization/index.html), publicado
hace cuatro años atrás. Dicho draft es el resultado de discusiones con
una
variedad de implementadores, incluyendo algunos de FreeBSD.

Dicho eso, está claro que es recomendable que aquellos que se encuentren
utilizando alguna de las implementaciones vulnerables actualicen las mismas
de forma urgente. Y también me interesa aclarar que lo anterior no le
quita crédito a Kaminsky. Está claro que su trabajo a llevado a que se
parcheen numerosas implementaciones, lo cual es mas que interesante y
rescatable.

Fernando Gont






-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 9.5.3 (Build 5003) - not 
licensed for commercial use: www.pgp.com

wsBVAwUBSHbfI2l+Jnd3SMmAAQiHEwf/QNgkjiIYmyfvYFipVp13ovVKSJeNHEhn
Y2B05AToqzD7lJM725O1MW7Z+0KVDU1iwLtspDpLjz60nzyiK8b8R+484tE0TAXl
VkTfhbXgOUKuzprUM8Wtx0uV2hfaR7r4ftfC6aXMz8wMU22A/GeY1jsdCyM9y+gf
ofdIqzyA6tZhExIUxbQDutpdDqAROClM7AXTVkMgWoZ0XO5/oCBnGRMBv+txvRn3
zb/DnviA/k/Rg8v0x1Ny3RloyYWebjaCDKgfAymBsYksbUDICRka2jGo9B7vHV1i
ySHQg8NvXAt1Yv70rokUDuHUSF9ROboFaHaH1KFN5lnXIb39Uq+FvA==
=71Vf
-----END PGP SIGNATURE-----


--
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en acm.org
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1







Más información sobre la lista de distribución Seguridad