DNS-Sicherheitsproblem: Neue und vergessene Patches
Das ISC hat den zweiten Patch (P2) für seine Nameserver BIND veröffentlicht, der die von P1 verursachten Leistungseinbußen beheben soll. Apple hat bei seinen DNS-Patches offenbar die Clients vergessen, die nun weiterhin verwundbar sind.
- Daniel Bachfeld
Das ISC hat den angekündigten zweiten Patch (P2) für seinen Nameserver BIND zur Behebung der Cache-Poisoning-Schwachstelle für rekursive Nameserver veröffentlicht. P2 soll die bei stark belasteten Systemen beobachteten, von P1 verursachten Leistungseinbußen beheben. Bereits beim Entwickeln und Testen von P1 sei bei rekursiv auflösenden Servern mit mehr als 10.000 Anfragen pro Sekunde aufgefallen, dass der Anti-Cache-Poisoning-Patch den Server ausbremst. Aufgrund der knappen Zeitvorgabe habe man sich aber entschlossen, zunächst das Sicherheitsproblem zu lösen und in einem späteren Update das Performance-Problem anzugehen. Ob der neue Patch das Problem nun wirklich löst, müssen die Tests der ISPs zeigen. P2 steht für BIND 9.5.0, BIND 9.4.2 und BIND 9.3.5 bereit.
Unterdessen gibt es Berichte vom Internet Storm Center (ISC) und dem Sicherheitsdienstleister nCircle, dass Apple mit seinem letzten Sicherheits-Update vergessen hat, die DNS-Bibliotheken der Clients zu aktualisieren, um sie wie die Server immun gegen Cache-Poisoning-Angriffe zu machen. Zwar stehen die Clients (sogenannte Stub Resolver) derzeit nicht im Mittelpunkt der Angriffe, prinzipiell sind sie aber nach einhelliger Meinung genauso angreifbar wie die Nameserver selbst. Microsoft, alle großen Linux-Dsitributoren und die BSD-Derivate haben ihre Clients auch bereits abgesichert, indem der Patch dafür sorgt, dass der Source-Port für eine Anfrage zufällig ist. Der Client-Resolver von Apple erhöht unter Tiger und Leopard aber weiterhin den Source-Port für jede Anfrage um eins.
Dass Apple die Clients offenbar vergessen hat, wiegt nach Meinung von Andrew Storms von nCircle um so schwerer, weil fast keiner Nameserver auf Grundlage von Mac OS X betreibt. Damit wäre das Ziel, die Kunden zu schützen, verfehlt. Allerdings suggeriert das Apple-Update, dass die Client ebenfalls aktualisiert werden.
Siehe dazu auch:
- Apple DNS Patch Fails To Randomize - Users Still At Risk, Blogeintrag von Andrew Storms
- Apple's Security Update 2008-005: DNS workaround finally included, Diaryeintrag im ISC von Swa Frantzen
Zu den Hintergründen und aktuellen Entwicklungen beim Sicherheitsproblem im Domain Name System siehe:
- Apple schließt Schwachstelle in DNS-Server unter Mac OS X
- Patches gegen DNS-Schwachstellen bremsen Server aus
- Telekom hinkt mit DNS-Sicherheitspatch hinterher
- Apple ohne Patch für DNS-Lücke
- Erste Angriffe auf Nameserver beobachtet
- Exploits für DNS-Schwachstellen veröffentlicht
- Details zum DNS-Sicherheitsproblem veröffentlicht
- Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten
- Massives DNS-Sicherheitsproblem gefährdet das Internet
(dab)
