[ twiddle @ 15.08.2008. 12:04 ] @
Mnogi nacionalni registri su u par poslednjih nedelja upozorili svoje klijente na bezbednosne propuste u BIND-u (i jos nekoliko drugih softverskih verzija). Nesto o tome je bilo i na ES: http://www.elitesecurity.org/t...S-software-update-cross-vendor Zanimljivo je da RNIDS nije objavio nista na tu temu, a kao nacionalni registar ipak ima - ako ne zakonsku ili ugovornu - onda barem moralnu obavezu da Internet zajednicu obavestava o ovakvim stvarima. Ali dobro, ostavimo sada to po strani ... Prica je pocela pre nekih mesec dana, kada je CERT objavio preporuku pod naslovom Multiple DNS implementations vulnerable to cache poisoning. Na prvi pogled, sve je izgledalo kao "yet another bug story". Nista novo u svetu softvera, pa valjda smo i do sada navikli na bug, patch, upgrade, update, service pack ... Ovog puta, medjutim, nije rec samo o softveru, vec i o nedostaku u samoj specifikaciji DNS protokola. Kompletnu pricu o tome, izvrsno objasnjenu i ilustrovanu, mozete da procitate ovde: http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html Prica se, medjutim, tu ne zavrsava. Mada su proizvodjaci DNS softvera (ukljucujuci ISC/BIND) vec objavili patch-eve, na jednoj IETF mailing listi pre par dana je osvanuo jedan zanimljiv egzaktan matematicki proracun (inace prava retkost u danasnjem ICT svetu, u kome se vecina stvari radi rutinski, a cesto i stihijski i povrsno), koji pokazuje da cak i sa najnovijim patch-evima problem jos uvek nije resen do kraja i da su na duzi rok neophodan masovan prelazak na DNSSEC ili totalni redizajn DNS protokola. Kompletan tekst o tome je arhiviran ovde: http://www.ops.ietf.org/lists/...amedroppers.2008/msg01194.html U medjuvremenu su se pojavili i exploits, tako da ako jos uvek niste azurirali svoj DNS, ucinite to sto pre ... |