Rappel : il est URGENT de mettre à jour les serveurs DNS récursifs, si ce n'est pas déjà fait
Le
Stephane Bortzmeyer
[C'est un peu hors-sujet, je sais, mais il doit y avoir ici pas mal de
gens qui gèrent des serveurs DNS. Si ce n'est pas le cas, vous pouvez
au moins tester celui de votre FAI. Debian a eu les mises à jour
nécessaires dès le premier jour donc 'aptitude install XXX' suffit,
où XXX est le logiciel utilisé.]
[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]
L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :
http://beezari.livejournal.com/141796.html
Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.
Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en
<http://operations.afnic.fr/fr/2008/...s.html>).
Mais, selon cette étude états-unienne :
http://www.hackerfactor.com/blog/in...r-DNS.html
plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France et il est probable que ce n'est pas
meilleur chez nous.
Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
Pour tester votre résolveur, le meilleur outil Web est :
https://www.dns-oarc.net/oarc/services/dnsentropy
et le meilleur outil en ligne de commande est dig :
dig @X.Y.Z.T +short porttest.dns-oarc.net TXT
(Cf. https://www.dns-oarc.net/oarc/services/porttest)
http://www.bortzmeyer.org/faille-dn...ement.html
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
gens qui gèrent des serveurs DNS. Si ce n'est pas le cas, vous pouvez
au moins tester celui de votre FAI. Debian a eu les mises à jour
nécessaires dès le premier jour donc 'aptitude install XXX' suffit,
où XXX est le logiciel utilisé.]
[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]
L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :
http://beezari.livejournal.com/141796.html
Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.
Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en
<http://operations.afnic.fr/fr/2008/...s.html>).
Mais, selon cette étude états-unienne :
http://www.hackerfactor.com/blog/in...r-DNS.html
plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France et il est probable que ce n'est pas
meilleur chez nous.
Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
Pour tester votre résolveur, le meilleur outil Web est :
https://www.dns-oarc.net/oarc/services/dnsentropy
et le meilleur outil en ligne de commande est dig :
dig @X.Y.Z.T +short porttest.dns-oarc.net TXT
(Cf. https://www.dns-oarc.net/oarc/services/porttest)
http://www.bortzmeyer.org/faille-dn...ement.html
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Poser une question
Quel est la solution pour les seveurs en Sarge?
:~$ apt-cache policy bind9
bind9:
Installé : 1:9.2.4-1sarge3
Candidat : 1:9.2.4-1sarge3
Table de version :
*** 1:9.2.4-1sarge3 0
500 ftp://ftp2.de.debian.org sarge/main Packages
500 http://security.debian.org sarge/updates/main Packages
100 /var/lib/dpkg/status
--
Daniel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
--------------enig5939CEF3E04D607CF4E1C6D5
daniel huhardeaux wrote:
Au pire, tu mets en place une règles iptables pour rendre le port sourc e
aléatoire pour les requêtes DNS et tu joues sur la durée des connex ions
udp au niveau de netfilter si nécessaire.
http://www.cipherdyne.org/blog/2008...soning-att acks-with-iptables.html
--
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
--------------enig5939CEF3E04D607CF4E1C6D5
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkiHn64ACgkQxJBTTnXAif5ooQCgrsIxKCTwNF/sPi4XXUvn57He
FxIAnjhuknScch7BOYvx48UH6j1VRfZb
=Ne6V
-----END PGP SIGNATURE-----
--------------enig5939CEF3E04D607CF4E1C6D5--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Moi jâaurais plutôt dit : « Au pire, tu mets à jour vers
Etch » :oP
Sarge nâa plus de mise à jour de sécurité, donc Sa rge ne doit
plus être utilisée sâil elle a des trous connus et non
corrigés/corrigeables (ou moins facilement corrigeables quâune
mise à jour).
Plus ça va et plus il y aura de chances de trouver des
bogues/trous dans des programmes de Sarge.
[Franck, il semble que (ton ?) Thunderbird nâindique pas que
le texte est en Quoted-printable, câest⦠gênant.]
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
merci pour la piqure de rappel, moi je rajouterais en plus que selon
une etude (faut que je retrouve la source) tres peu de DNS sont
conformes aux RFC, pendant vos updates, faites vous un beau cadeau,
lisez une RFC ;)
Quelqu'un a-t-il une url pour tester un serveur distant qui n'a pas de
X, et ne peut pas surfer?
Bonne journee.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
daniel huhardeaux
J'ai fait un backport de bind9 etch pour sarge. Je suis en train de le tester
sur un serveur. Tu le trouveras ici
deb http://boisson.homeip.net/debian sarge divers
Il utilises un backport de lsb-base de debian-backports que j'ai mis sur le
serveur.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact