:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Le blues du DNS frappe encore
Un bug DNS est à la communauté des administrateurs ce qu’une augmentation du baril de brut est aux automobilistes*. Cette fois, l’alerte a été lancé par Dan Kaminsky, qui laisse deviner que le monde Internet est passé assez près sinon d’une catastrophe, du moins d’un risque certain de DNS Spoofing à l’échelle planétaire.
Kaminsky en profite pour offrir sur son site un test de vulnérabilité rapide. Entre temps, les principaux éditeurs, Microsoft, Cisco Systems, ISC BIND et consorts ont pratiquement tous émis un correctif (une amélioration des mécanismes déterminant l’identifiant aléatoire), charge étant aux grands utilisateurs –les FAI notamment- de déployer ladite rustine.
Microsoft a glissé le bouchon de sécurité à l’intérieur du flux du « patch Tuesday » sous la référence MS08-037.
Un bien pour un mal… car, prévient l’éditeur, l’application sans discernement de ce code peut parfois provoquer des crash et occasionne, sur les serveurs 2000 et 2003, un problème secondaire affectant les mécanismes d’attribution de port du DNS : la plage d’attribution a considérablement été étendue (de 49532 à 65535, alors qu’elle couvrait de 1025 à 5000 sur les anciennes version du serveur) et risque de tomber dans les filets d’un firewall qui n’aurait pas été prévenu de ce brusque changement. L’annuaire sur 2000 ou 2003 Server risque donc de devenir muet (2008 n’est pas affecté, car déjà capable de gérer cet espace). Le déploiement à l’aveugle, sans tests de régression, est à proscrire absolument.
Les précédentes « faille DNS », à ce jour, ont prouvé que, malgré la vigilance des administrateurs, il existait toujours un reliquat de machines qui échappaient à la campagne de salubrité.
L’alerte concernant pratiquement tous les noyaux utilisant Bind, qu’ils soient d’origine Windows, Linux, Unix ou embarqués au sein d’équipements (routeurs notamment) l’on peut une nouvelle fois craindre, passés les premiers jours de panique, une résurgence d’attaques visant la « nouvelle vieille faille DNS ». L’alerte du Cert US dresse une liste conséquence des principaux acteurs ayant annoncé ou non la disponibilité d’une mise à jour.
* Notons en revanche que, pour les vendeurs d’outils de sécurité, c’est là une nouvelle aussi agréable à entendre que cette même augmentation du baril de brut aux oreilles de Bercy, car c’est là la promesse d’une manne « phynancière » garantie.
|
