public-l AT list.denic.de
Subject: Public DENIC mailinglist
List archive
[DENICpublic-l] DENIC rät zu Software-Update aufgrund einer Sicherheitslücke bei DNS-Resolvern
Chronological Thread
- From: DENICpresse <presse AT denic.de>
- To: Public-L <public-l AT denic.de>
- Subject: [DENICpublic-l] DENIC rät zu Software-Update aufgrund einer Sicherheitslücke bei DNS-Resolvern
- Date: Fri, 11 Jul 2008 17:57:38 +0200
- List-id: public-l <public-l.list-id.denic.de>
Sehr geehrte Damen und Herren,
in den letzten Tagen ist von allen namhaften Herstellern von DNS-Software
sowie diversen Incident Response Teams (CERTs) auf ein aktuelles
DNS-Problem hingewiesen worden, wodurch Nameservern verfälschte
Informationen untergeschoben werden könnten. Die DENIC möchte Sie
nachfolgend über die Hintergründe informieren, ihre Sicht auf das Problem
darstellen und Handlungsoptionen für die Betreiber von Nameservern
aufzeigen.
Die beschriebene Schwachstelle betrifft viele rekursive Nameserver. Es
handelt sich dabei um Programme, die für Auflösung von Rechnernamen in
IP-Adressen zuständig sind. Die entsprechende Information wird nicht nur
direkt an das anfragende Programm (etwa einen Webbrowser) weitergegeben,
sondern eine Zeit lang im Cache, dem Zwischenspeicher des Nameservers,
bereitgehalten. Durch die Lücke können Angreifer in den Cache von
ungeschützten rekursiven Nameservern falsche Daten für bestimmte Domains
einfügen. Da der Inhalt bildlich „vergiftet“ wird, spricht man an dieser
Stelle von „Cache Poisoning“.
Ziel eines solchen Angriffs könnte es sein, Internetnutzer auf gefälschte
Webseiten umzulenken (ähnlich wie beim sogenannten Phishing), ohne dass
der Nutzer einem gefälschten URL folgen müsste. Der Angreifer gelangt so
möglicherweise in den Besitz von Nutzerkennungen und Passwörtern oder
anderen wertvollen Informationen.
Die DENIC kann derzeit keine Angaben zur Natur der konkreten
Angriffsmethode machen. Dan Kaminsky, ein Sicherheitsexperte, der bereits
mehrfach über das DNS publiziert hat, wird die Details auf der
Blackhat-Konferenz am 6. August 2008 vorstellen.
Informationen zum allgemeinen technischen Hintergrund des
Angriffsszenarios haben wir unserer Webseite (
http://www.denic.de/de/domains/technik/resolver.html) zusammengestellt.
Cache Poisoning ist grundsätzlich ein lange bekanntes Problem im DNS, das
sich aus dessen Design ergibt. Man hat im Laufe der Jahre daher diverse
Methoden der Härtung von Resolvern entwickelt und die Software dadurch
weniger anfällig gemacht. So sind seit langem keine Vorfälle bekannt, in
denen Cache Poisoning eine Rolle gespielt hätte. Um auch das aktuelle
Problem zu bekämpfen, haben alle Hersteller von Nameservern kurzfristig
Patches für ihre Systeme veröffentlicht, die es den Angreifern deutlich
schwerer machen, den Cache der Nameserver mit falschen IP-Adressen „zu
vergiften“. Hierzu wird der Port, von dem der Resolver seine Abfrage
sendet, zufällig ausgewählt (sogenanntes „source port randomization“). Der
Angreifer muss dann nicht nur die Transaktionsnummer der Anfrage, sondern
zusätzlich den richtigen Port ausfindig machen, um seine gefälschte
Antwort im Cache unterzubringen.
Es liegen zwar noch keine Erkenntnisse darüber vor, dass die
Sicherheitslücke tatsächlich schon ausgenutzt wurde, aber die öffentliche
Diskussion darüber kann die Wahrscheinlichkeit dafür erhöhen. Die DENIC
empfiehlt daher allen Betreibern von rekursiven Nameservern, im Interesse
der Nutzer und der Sicherheit und Stabilität des DNS im Ganzen, sich mit
ihrem Softwarelieferanten in Verbindung zu setzen und die von ihnen
eingesetzten Programme schnellstmöglich auf den neuesten Stand zu bringen.
Mit freundlichen Grüßen
Klaus Herzig
--
DENIC eG
Pressestelle/Public Relations
Kaiserstraße 75-77
60329 Frankfurt am Main
GERMANY
Fon: +49 69 27235-274
Fax: +49 69 27235-235
E-Mail: presse AT denic.de
http://www.denic.de
Sitz: Frankfurt am Main
Eingetragen unter Nr. 770 im Genossenschaftsregister beim Amtsgericht
Frankfurt am Main
Vorstand: Sabine Dolderer, Marcus Schäfer, Carsten Schiefner, Dr. Jörg
Schweiger
Vorsitzender des Aufsichtsrats: Elmar Knipp
- [DENICpublic-l] DENIC rät zu Software-Update aufgrund einer Sicherheitslücke bei DNS-Resolvern, DENICpresse, 07/11/2008
Archive powered by MHonArc 2.6.19.