View Full Version : Ошибка в системе DNS-серверов & wl500gp
В статье http://www.3dnews.ru/software-news/oshibka_v_sisteme_dns_serverov_mozhet_stat_prichin oi_globalnoi_ataki_na_internet/ нашёл следующее "Всем IT-администратом советуют как можно скорее закрыть эту уязвимость, также стоит обратить внимание на DSL-модемы, в которых может быть внедрено программное обеспечение DNS.", а роутер wl500gp штука наворочанная. :)
Для компов microsoft выпустила обновление(http://www.securitylab.ru/vulnerability/355706.php).
Прошивку роутера wl500gp нужно исправлять???
P.S.
Для справки )
"Несколько крупных IT-корпораций, в том числе Microsoft, Sun и Cisco скоординированно выпустили патч, исправляющий серьезную уязвимость в DNS, системе, ответственной за соответствие интернет-адресов доменным именам, пишет ZDNet. Воспользовавшись ошибкой, злоумышленники могли бы перенаправить трафик практически с любого веб-адреса на свои сервера.
Ошибку в DNS обнаружил специалист по безопасности Дэн Камински (Dan Kaminsky) из компании IOActive около полугода назад. Он решил передать эту информацию напрямую соответствующим компаниям, в ходе обсуждения попросив синхронно выпустить патч.
Пока Камински отказывается сообщать подробности об уязвимости, однако из вопросов и ответов на конференции стал понятен общий механизм взлома, пишет CNet. В мире существует 13 основных DNS-серверов и множество серверов, обновляющих свои базы данных в соответствии с главными. Каждому запросу о том, какому IP-адресу соответствует данный домен, присваивается случайный идентификационный номер от 0 до 65 тысяч.
Злоумышленник, по словам Камински, может угадать этот номер и подделать ответ сервера. В таком случае пользователь попадет, например, на поддельный сервер банка или интернет-магазина.
После исправления идентификационный номер станет почти невозможно угадать - их распределение будет более близким к случайному, а вместе 16 бит на номер будет выделяться 32.
Проверить свой DNS-сервер на наличие уязвимости, получившей название DNS Cache Poisoning, можно по адресу doxpara.com. Ожидается, что подавляющее большинство персональных компьютеров будет автоматически защищено от DNS Cache Poisoning в течение тридцати дней
Как сообщает CNet, суть проблемы в том, что 13 корневых DNS-серверов обмениваются с рядовыми серверами запросами с уникальным идентификатором. Он генерируется случайно, но только в диапазоне от 0 до 65535 (16 бит). Когда формируется запрос о том, какому IP-адресу соответствует данный домен, злоумышленник может подобрать идентификатор этого запроса и подставить для вполне легитимного сайта поддельный IP-адрес. В результате открывается простор для фишинга – можно имитировать сайты банков или интернет-магазинов, и пользователь ничего не заметит.
В RU-CENTER журналистов успокоили, что эта проблема уже давно известна техническим специалистам, но на протяжении последних нескольких лет никак не давала о себе знать. По сути, особенность протокола (которую называют ошибкой) не исправлена, да и не может быть исправлена. Речь идет лишь об усложнении возможной реализации атаки, построенной на использовании особенности протокола.
После установки патча DNS-сервер обменивается с корневым сервером (или, наоборот, с рядовым пользователем самого DNS-сервера) запросами с более сложным (32 бита) идентификатором. Кроме того, процедура генерации чисел становится более близкой к случайной.
"
Неактуально, т.к. там нет DNS сервера.
Неактуально, т.к. там нет DNS сервера.
У меня на компе нет, но обновление от microsoft таки поставил. Я это зря сделал? ))))
Думаю, что нет, потому как "Уязвимость существует из-за ошибки в DNS клиенте и Windows DNS сервере из-за недостаточной энтропии сокетов во время отправки DNS запросов"
"Недостаточная энтропия сокетов", что это по русски? После закрытия сокета новый сокет создаётся с таким же номером, об этом идёт речь?
В статье http://www.3dnews.ru/software-news/oshibka_v_sisteme_dns_serverov_mozhet_stat_prichin oi_globalnoi_ataki_na_internet/ нашёл следующее "Всем IT-администратом советуют как можно скорее закрыть эту уязвимость, также стоит обратить внимание на DSL-модемы, в которых может быть внедрено программное обеспечение DNS.", а роутер wl500gp штука наворочанная. :)
Для компов microsoft выпустила обновление(http://www.securitylab.ru/vulnerability/355706.php).
Прошивку роутера wl500gp нужно исправлять???
У тебя через роутер сидят куча народу, лазающего на секретные сайты или
переводящие кучу денег через SSL доступ?
"Недостаточная энтропия сокетов", что это по русски? После закрытия сокета новый сокет создаётся с таким же номером, об этом идёт речь?
Это я секлаб процитировал, но думаю, что твоя трактовка верна. )
У тебя через роутер сидят куча народу, лазающего на секретные сайты или
переводящие кучу денег через SSL доступ?
У меня, например, нет. Но мы обо мне говорим? Роутером пользуюсь не только я, нас много, может уже миллион. )))
Мы говорим о конкретном роутере и о существующей уязвимости в DNS. Причем "Уязвимость затрагивает не только Windows, но и Linux, а также роутеры и другое сетевое оборудование". Патчи были выпущены не только для винды, но и для других операционных систем.
Я предполагаю, что это делалось не от безделья. ;)
Точно есть.На сколько я понимаю, ошибка выявлена в BIND - протоколе, и затрагивает BINDD, а так же системы с кодом, стыренным из открытых реализаций. Микрософт и иже с ними моно понатырили, и вот теперь, латают дыры совместно.
В роутере, а так же в модемах, врядли стоит BIND...
sillent1987
11-07-2008, 13:58
Для роутера это нафик ненужно. У него внутри крутится тока dnsmasq, которому мы указываем юзать адресса днс-серверов прова, вот пров пускай себе и обновляет
Для роутера это нафик ненужно. У него внутри крутится тока dnsmasq, которому мы указываем юзать адресса днс-серверов прова, вот пров пускай себе и обновляет
Зная ваш IP номер (внешний) я прошлю в ваш роутер фальшивый ответ dns сервера, который dnsmasq'ом будет съеден за милую душу. "И пойдете вы куда мне надо" (c)
Для роутера это нафик ненужно. У него внутри крутится тока dnsmasq, которому мы указываем юзать адресса днс-серверов прова, вот пров пускай себе и обновляет
http://www.kb.cert.org/vuls/id/AAMN-7GDV56
У тебя через роутер сидят куча народу, лазающего на секретные сайты или
переводящие кучу денег через SSL доступ?
Когда на ваших компьютерах появятся боты и прочая нечисть ...
На сколько я понимаю, ошибка выявлена в BIND - протоколе, и затрагивает BINDD, а так же системы с кодом, стыренным из открытых реализаций. Микрософт и иже с ними моно понатырили, и вот теперь, латают дыры совместно.
В роутере, а так же в модемах, врядли стоит BIND...
BIND -- одна из возможных реализаций. "Проблема/особенность" в самом протоколе запроса/ответа.
Надо бы проверить вариант с iptables limit 100/m
BIND -- одна из возможных реализаций. "Проблема/особенность" в самом протоколе запроса/ответа.В этом-то и смысл моего предидущего поста: в роутере нет bindd - пачить нечего не нужно, а то что можно словить фальшивый DNS-ответ, так это и с роутером, и без роутера напрямую в комп с виндой или с линуксом - одинаково возможно и одинаково эффективно. Требовать пропатчить нужно в первую очередь ближайшие серверы имён у провайдера.
Беглый поиск по гуглу дает такие результаты:
http://secunia.com/advisories/31197/
1) A vulnerability is caused due to dnsmasq not sufficiently randomising the DNS transaction ID and the source port number, which can be exploited to poison the DNS cache.
Vulnerability #1 is reported in versions prior to 2.43, vulnerability #2 is reported in version 2.43.
$ dnsmasq --version
Dnsmasq version 2.22 Copyright (C) 2000-2005 Simon Kelley
Еще тут: http://www.dd-wrt.com/phpBB2/viewtopic.php?t=34649
Мне думается, что правильным шагом будет обновить dnsmasq и остальной софт связанный с днс и подверженный этой уязвимости
Статья с секлаба http://www.securitylab.ru/analytics/356362.php в продолжение темы. Анализ и комментарии.
В этом-то и смысл моего предидущего поста: в роутере нет bindd - пачить нечего не нужно, а то что можно словить фальшивый DNS-ответ, так это и с роутером, и без роутера напрямую в комп с виндой или с линуксом - одинаково возможно и одинаково эффективно. Требовать пропатчить нужно в первую очередь ближайшие серверы имён у провайдера.
При чем тут dns сервер провайдера? Нехороший человек пришлет прямо на _ваш_ роутер/компьютер нужные ему данные. Ошибка/проблема не в конкретной реализации (bind), а в самом протоколе запроса/ответа.
При чем тут dns сервер провайдера? Нехороший человек пришлет прямо на _ваш_ роутер/компьютер нужные ему данные. Ошибка/проблема не в конкретной реализации (bind), а в самом протоколе запроса/ответа. - которые будут успешно проигнорированы, как роутером, так и компьютером. Нету у меня на роутере (и на компьютере нет) кеширующего DNS-сервера. Нет возможности отравить мой кеш имён-адресов.
А подменить DNS на фальшивый сервер имён (ведь, чтоб прислать фальшивый ответ, нужно, во-первых поймать мой запрос, а во-вторых блокировать истинный ответ - всё это требует слома ARP, а не бинд) - так эта ошибка не BIND-протоколе, а в архитектуре всего интернета.
;)
Статья с секлаба http://www.securitylab.ru/analytics/356362.php в продолжение темы. Анализ и комментарии.
Да, это не первая уязвимость, связанная с отравлением кеша DNS.
Вот http://secunia.com/advisories/14691/ например, пофиксенная еще в 2005 году. И если мне не изменяет память, dnshijack'еры существуют столько лет, сколько лет интернету :-)
+,У меня сейчас Асус пылится на полке, но я бы попробовал до обновления dnsmasq прописать в компе вместо dhcp ручные настройки dns, указать ip провайдера, вместо ip Asus'a (и обновить операционку компа)
Согласен с евгеном.
Развели флуда на 2 страницы.
Если это такая жуткая опасность ваши рутеры уже давно бы бы работали как зомби в бот-сетях.
Видимо вы невнимательно читали описание неисправности, к которой уже как неделю существует эксплоит в открытом доступе, правда проверить на роутере пока не приходилось ибо мой провайдер ДНС у себя также не пропатчил и пришлось переползать на opendns.
Как зомби оно работать не может, зато может отдавать некорректный ответ на клиентские машины и привести к потере ваших же денег (или приватной информации).
Видимо вы невнимательно читали описание неисправности, к которой уже как неделю существует эксплоит в открытом доступе, правда проверить на роутере пока не приходилось ибо мой провайдер ДНС у себя также не пропатчил и пришлось переползать на opendns.
Как зомби оно работать не может, зато может отдавать некорректный ответ на клиентские машины и привести к потере ваших же денег (или приватной информации).
У обычного грамотного юзера, как правило, на компе стоит антивирь, многие из которых сейчас умеют ловить кривые DNS ответы. Плюс нет кеша DNS. Ну и так далее ...
А у криворукого - и так все открыто и при что хочешь.
А нормальные сисадмины следят за такими вещами сами.
У обычного грамотного юзера, как правило, на компе стоит антивирь, многие из которых сейчас умеют ловить кривые DNS ответы. Плюс нет кеша DNS. Ну и так далее ...
А у криворукого - и так все открыто и при что хочешь.
А нормальные сисадмины следят за такими вещами сами.
С каких пор антивири умеют ловить ответы от кривых ДНС серверов - неизвестно. Вообще-то это должны делать фаерволлы, а антивири всю жизнь искали вирусы. Кеш ДНС даже в винде есть, если вы не знали (а по вашему посту не похоже, чтобы вы пользовались какой-то другой операционной системой).
У вас может "антивирь" и ловит неправильный ответ от ДНС, вот только стоит он не на роутере.
С каких пор антивири умеют ловить ответы от кривых ДНС серверов - неизвестно. Вообще-то это должны делать фаерволлы, а антивири всю жизнь искали вирусы. Кеш ДНС даже в винде есть, если вы не знали (а по вашему посту не похоже, чтобы вы пользовались какой-то другой операционной системой).
У вас может "антивирь" и ловит неправильный ответ от ДНС, вот только стоит он не на роутере.
С таких, что уже достаточно долгое время антивири для конечных пользователей представляют из себя комбайны с кучей наворотов, точнее предлагаются в комплекте с файерволлом, контролем портов и прочим ...
Иногда в ущерб функционалу ...
Не будем переходить на личности не зная человека и чем он занимается!
На роутере у меня стоит антивирь, DNS-ом не занимается, а делает свое прямое дело.
Я в своих постах говорил только про обычных пользователей, которые в основном и спрашивают в этом форуме. А данная тема может их напугать- они и так еле освоили телнет, а тут на них свалилась глобальная проблема - один неверный шаг, и их роутер поработит мир :)
И они начинают в панике делать глупости, а потом требовать вернуть им все как было после того, как все сломают...
Таких глобальных проблем в безопасности полно, многие из них не столь широко раскручены (например получение Интерпрайз админа в Винде и рута в никсах, при чем в Линуксе операция занимает 15 секунд максимум). И что теперь? Многие админы озаботились защитой?
Многие крупные конторы до сих пор не патчились и что? Сильно возросла утечка их данных?
Эпидемии вирусов и прочей заразы периодически облетают мир, и что?
Не надо пугать обычного пользователя, поскольку он все равно не знает что делать и не должен заниматься подобными вещами, его дело лазать в инете, играть в игры, смотреть порнушку и т.д., озаботившись лишь установкой стандартных средств защиты, остальное должны делать специалисты.
Такое впечатление, что раскрутка этой уязвимости - чей-то очередной пиар. Такие темы стоит помечать например "только для специалистов".
И вообще, я в отпуске и мне наплевать на все уязвимости :)
Согласен с евгеном.
Развели флуда на 2 страницы.
Если это такая жуткая опасность ваши рутеры уже давно бы бы работали как зомби в бот-сетях.
Как говорится +1
Кому надо что спететь - сопрет при любой защите.
Не припомню такого глобального бага за последнее время.
Вообще, не вижу смысл продолжать спор, каждый останется при своем. Пока гром не грянет - мужик не перекрестится. (с)