Patches gegen DNS-Schwachstellen bremsen Server aus

Die Anti-Cache-Poisoning-Patches für den Nameserver BIND können unter Umständen zu Leistungseinbrüchen bei stark beanspruchten Systemen führen, hat der Leiter des Herstellers ISC, Paul Vixie, auf der BIND-Mailing-Liste zugegeben. Bereits beim Entwickeln und Testen der Patches sei bei rekursiv auflösenden Servern mit mehr als 10.000 Anfragen pro Sekunde aufgefallen, dass der Patch den Server ausbremst. Aufgrund der knappen Zeitvorgabe habe man sich aber entschlossen, zunächst das Sicherheitsproblem zu lösen und in einem späteren Update das Performance-Problem anzugehen.

Dieser P2 genannte Patch steht für BIND 9.4.3 und BIND 9.5.1 laut Vixie schon als Beta-Version bereit. Die finalen Versionen 9.3.5-P2, 9.4.2-P2 und 9.5.0-P2 sollen Ende der Woche zur Verfügung stehen. Diese sollen zudem die Verteilung der Source-Ports noch weiter verbessern. Im Zweifel sollten Administratoren seiner Meinung nach auf die finale Version warten, statt P1 wieder zu deinstallieren. Das Schließen der Lücke sei wichtiger als ein schneller Server.

Unterdessen sind Cache-Poisoning-Angriffe bereits in vollem Gange. US-Medienberichten zufolge wurden Nameserver von AT&T manipuliert, um Kunden auf gefälschte Google-Seiten zu leiten. Interessanterweise soll es ausgerechnet H.D. Moore gewesen sein, einer der Autoren der DNS-Exploits, dem das Problem als erstem aufgefallen ist. Seine in Texas ansässige Firma BreakingPoint hängt am Netz von AT&T. Moore war jedoch not amused, dass der Vorfall von PC World zunächst so geschildert wurde, als wären seine Systeme kompromittiert worden. Daraufhin veranlasste er eine Korrektur des Artikels von PC World.

Während AT&T ganz offensichtlich noch nicht vollständig gepatcht hat, gibt es über den Patchstatus der Telekom widersprüchliche Aussagen. Während T-Online auf seinen Seiten offiziell vermeldet: "Die von der Telekom betriebenen Nameserver sind bereits gepatcht und gegen die drohenden Angriffe abgesichert", betonte Telekom-Sprecher Domagala gegenüber heise Security erneut, dass nicht alle Systeme gepatcht seien. Seiner Aussage widersprechen allerdings unabhängige Sicherheitsspezialisten wie Florian Weimer von Debian-Projekt. Zumindest die Nameserver für die T-DSL-Anwender seien gepatcht.

Für Verwirrung sorgen zudem die verschiedenen Online-Tests und Tools, die versuchen, eine Aussage zu treffen, ob ein Nameserver verwundbar ist oder nicht. Mittlerweile wurde etwa der Test auf www.dns-oarc.net/oarc/services/porttest überarbeitet, sodass nicht mehr nur zwischen POOR und GREAT bei der Verteilung der Source-Ports unterschieden wird. Zusätzlich gibt es ein GOOD, womit etwa die Server der Telekom wieder in eine gutes Licht rücken. Der strenge Test sorgte fälschlicherweise auch für den Eindruck, Kabel Deutschland hätte seine Systeme noch nicht gepatcht. Laut Kathrin Wittmann von Kabel Deutschland habe man bereits am 9. Juli 2008 sämtliche betroffenen Serversysteme aktualisiert.

Da die verfügbaren Tests nur die Zufälligkeit der Source-Ports analysiere, sind sie nicht in der Lage, zusätzliche Maßnahmen zu erkennen. Kabel Deutschland und andere ISPs wollen aber bereits solche Maßnahmen implementiert haben, ohne genau zu nennen, welche dies sind. Immerhin meldet der Test von Dan Kaminsky etwa bei der Telekom, dass der ISP andere Maßnahmen als die sogenannte Source-Port-Randomization zum Schutz seiner Server ergriffen hat und man sich keine Sorgen machen müsse.

Siehe dazu auch:

• ISC statement about BIND9's recent -P1 releases, Stellungnahme von Paul Vixie
• DNS Attack Writer a Victim of His Own Creation , Bericht von PC World

• Telekom hinkt mit DNS-Sicherheitspatch hinterher
• Apple ohne Patch für DNS-Lücke
• Erste Angriffe auf Nameserver beobachtet
• Exploits für DNS-Schwachstellen veröffentlicht
• Details zum DNS-Sicherheitsproblem veröffentlicht
• Massives DNS-Sicherheitsproblem gefährdet das Internet

(dab)