Faille DNS: savoir si on est vulnerable? c'est ici ;-)

Le
Pierre
Bonjour tout le monde

Vous pouvez tester votre vulnérabilité DNS à cette faille ici:

http://www.doxpara.com/

Cordialement,

Pierre
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
DAPL
Le #14494301
Oui, et si c'est le FAI qui est vulnérable ?
Que faire à part attendre qu'il patche ?
Pascal Hambourg
Le #14508301
Salut,

DAPL a écrit :
Oui, et si c'est le FAI qui est vulnérable ?
Que faire à part attendre qu'il patche ?



Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.
Fabien LE LEZ
Le #14512641
On 10 Jul 2008 10:35:43 GMT, Pascal Hambourg :

Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.



Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?

Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.
Pascal Hambourg
Le #14516791
Fabien LE LEZ a écrit :

Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.



Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?



Non, je n'utilise que BIND 9 sous GNU/Linux.

Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.



Pas sûr. C'est une faille résultant d'un mauvais choix de conception.
Les logiciels dont les développeurs n'ont pas fait ce mauvais choix ne
sont pas vulnérables, même s'ils sont vieux. De toute façon tu peux
vérifier avec le lien fourni en début de fil. Par contre il a peut-être
d'autres failles ou bugs.

Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.



Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.

Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.



Voilà un exemple de vieux machin qui n'a pas besoin d'être patché contre
cette vulnérabilité parce que son développeur avait fait le bon choix de
conception dès le départ.
Fabien LE LEZ
Le #14521141
On 10 Jul 2008 11:08:16 GMT, Pascal Hambourg

De toute façon tu peux
vérifier avec le lien fourni en début de fil.



Ah ben effectivement, Posadis semble fonctionner correctement. :-)

Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.



Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.



Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.
Pascal Hambourg
Le #14525431
Fabien LE LEZ a écrit :

Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.



Je ne sais pas pour la version Windows, mais la version empaquetée pour
Debian s'installe toute seule et est configurée par défaut pour servir
de cache récursif local. Ceci dit je reconnais qu'il y sûrement plus
simple que BIND pour un simple cache récursif.
Thierry
Le #14586831
"Pascal Hambourg" news: g54qg6$2rna$
De toute façon tu peux vérifier avec le lien fourni en début de fil.



C'est a dire que le site teste la faille ?
Je pensais qu'il se contentait de verifier la version du soft DNS.
Pascal Hambourg
Le #14595671
Thierry a écrit :
"Pascal Hambourg" news: g54qg6$2rna$

De toute façon tu peux vérifier avec le lien fourni en début de fil.



C'est a dire que le site teste la faille ?



Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé. Ça regarde si les requêtes ont
toujours le même port source ou un port aléatoire. Ça vérifie peut-être
aussi le caractère aléatoire de l'ID de requête.

Je pensais qu'il se contentait de verifier la version du soft DNS.



Je ne crois pas qu'il existe une méthode fiable pour cela.
Thierry B\.
Le #15402311
--{ Pascal Hambourg a plopé ceci: }--

Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé.



Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...


--
Pourquoi le Poulet a traversé la rue ?
* Isaac Asimov : La Troisième Loi des Poulets stipule qu'un poulet doit
protéger sa propre existence sauf si cette protection le force à désobéir
à un ordre humain ou à blesser un humain.
Fabien LE LEZ
Le #15410801
On 11 Jul 2008 20:35:41 GMT, "Thierry B."
Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...



Le code ne fait pas grand-chose : il se contente d'afficher, dans une
iframe, la page

http://<session>.toorrr.com/printme.html

où "<session>" est remplacé par 12 caractères hexadécimaux ([a-f0-9])
choisis au hasard.
Publicité
Poster une réponse
Anonyme