ubuntuusers.de

Sicherheitslücke in verschiedenen DNS-Systemen

allgemein.png

Vor etwa einem Monat hat der Sicherheitsexperte Dan Kaminsky angekündigt, auf der kommenden BlackHat-Konferenz eine kritische Sicherheitslücke im Domain Name System aufzudecken.

In Zusammenarbeit mit den Herstellern aller großen DNS-Server wurden deswegen in einer konzertierten Aktion Updates herausgebracht, die diese Schwäche, die im Protokoll immanent ist, so weit es geht neutralisieren sollen.

In den vergangenen Tagen ist diese Lücke dann vorzeitig von anderer Seite aufgedeckt worden, und wird nach Berichten stellenweise schon aktiv ausgenutzt, mit dem Ergebnis, dass Angreifer Benutzern ungepatchter DNS-Server falsche Namensauflösungen unterschieben können, und damit effektiv z.B. Webseiten verfälschen. (Sog. Cache-Poisoning-Angriff.)

Eine auch für Normalsterbliche einigermaßen verständliche (englischsprachige) Erklärung, worum es bei der Lücke geht, findet man u.a. auf http://amd.co.at/dns.htm.

Einen Test, ob man von dem Problem betroffen ist, hat das SANS Institute hier veröffentlicht: http://isc.sans.org/diary.html?storyid=4765

Der Test ist sehr einfach, und besteht aus einem einzigen dig-Befehl, wobei man natürlich die IP des benutzten Nameservers einsetzen muss (im Zweifelsfall einfach @name.ser.ver.ip ganz weglassen, dann wird der Standardserver getestet):

dig @name.ser.ver.ip +short porttest.dns-oarc.net TXT

Als Ergebnis erhält man die Antwort "name.ser.ver.ip is GOOD" oder "name.ser.ver.ip is POOR". Im letzteren Fall ist man von dem Problem betroffen und sollte was dagegen unternehmen. Da für die unter Ubuntu verfügbaren Nameserver Bind und DNSmasq Patches bereit stehen, und djbdns von vornherein nicht verwundbar war, betrifft dies insbesondere Leute, die einen Hardware-Router mit Caching-DNS-Server benutzen. Wer das tut und bei dem Test ein "POOR" als Antwort erhält, sollte seine Systeme so umkonfigurieren, dass sie diesen Caching-DNS nicht mehr benutzen sondern direkt auf die DNS-Server des Providers zugreifen.

Allerdings ist das Problem für Heimbenutzer wiederum nicht ganz so akut, da der Angriff voraussetzt, dass der Angreifer eine ganze Menge legitimer Anfragen an den DNS-Server schicken kann, was bei DSL-Routern normalerweise nur der Fall ist, wenn der Angreifer im eigenen Netz hängt. Kritisch wird's eher, wenn man z.B. in öffentlichen WLAN-Netzen unterwegs ist, deren Betreiber solche Caches verwenden, oder wenn der eigene ISP noch nicht gepatcht hat. Es schadet also nicht, mal alle DNS-Server in der eigenen Umgebung zu testen.

Vielen Dank an otzenpunk für diesen Artikel!

Diskussion & Kommentare