Rappel : il est URGENT de mettre à jour les serveurs DNS récursifs, si ce n'est pas déjà fait

Le
Stephane Bortzmeyer
[C'est un peu hors-sujet, je sais, mais il doit y avoir ici pas mal de
gens qui gèrent des serveurs DNS. Si ce n'est pas le cas, vous pouvez
au moins tester celui de votre FAI. Debian a eu les mises à jour
nécessaires dès le premier jour donc 'aptitude install XXX' suffit,
où XXX est le logiciel utilisé.]

[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]

L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :

http://beezari.livejournal.com/141796.html

Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.

Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en
<http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).

Mais, selon cette étude états-unienne :

http://www.hackerfactor.com/blog/index.php?/archives/204-Poor-DNS.html

plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France et il est probable que ce n'est pas
meilleur chez nous.

Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.

Pour tester votre résolveur, le meilleur outil Web est :

https://www.dns-oarc.net/oarc/services/dnsentropy

et le meilleur outil en ligne de commande est dig :

dig @X.Y.Z.T +short porttest.dns-oarc.net TXT

(Cf. https://www.dns-oarc.net/oarc/services/porttest)

http://www.bortzmeyer.org/faille-dns-empoisonnement.html


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
daniel huhardeaux
Le #16397771
Stephane Bortzmeyer a écrit :
[C'est un peu hors-sujet, je sais, mais il doit y avoir ici pas mal de
gens qui gèrent des serveurs DNS. Si ce n'est pas le cas, vous pouvez
au moins tester celui de votre FAI. Debian a eu les mises à jour
nécessaires dès le premier jour donc 'aptitude install XXX' suffit,
où XXX est le logiciel utilisé.]

[...]


Quel est la solution pour les seveurs en Sarge?

:~$ apt-cache policy bind9
bind9:
Installé : 1:9.2.4-1sarge3
Candidat : 1:9.2.4-1sarge3
Table de version :
*** 1:9.2.4-1sarge3 0
500 ftp://ftp2.de.debian.org sarge/main Packages
500 http://security.debian.org sarge/updates/main Packages
100 /var/lib/dpkg/status

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #16397961
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enig5939CEF3E04D607CF4E1C6D5
daniel huhardeaux wrote:
Stephane Bortzmeyer a écrit :
[C'est un peu hors-sujet, je sais, mais il doit y avoir ici pas mal de
gens qui gèrent des serveurs DNS. Si ce n'est pas le cas, vous pouve z
au moins tester celui de votre FAI. Debian a eu les mises à jour
nécessaires dès le premier jour donc 'aptitude install XXX' suffit ,
où XXX est le logiciel utilisé.]

[...]


Quel est la solution pour les seveurs en Sarge?

:~$ apt-cache policy bind9
bind9:
Installé : 1:9.2.4-1sarge3
Candidat : 1:9.2.4-1sarge3
Table de version :
*** 1:9.2.4-1sarge3 0
500 ftp://ftp2.de.debian.org sarge/main Packages
500 http://security.debian.org sarge/updates/main Packages
100 /var/lib/dpkg/status




Au pire, tu mets en place une règles iptables pour rendre le port sourc e
aléatoire pour les requêtes DNS et tu joues sur la durée des connex ions
udp au niveau de netfilter si nécessaire.

http://www.cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-att acks-with-iptables.html

--
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE


--------------enig5939CEF3E04D607CF4E1C6D5
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkiHn64ACgkQxJBTTnXAif5ooQCgrsIxKCTwNF/sPi4XXUvn57He
FxIAnjhuknScch7BOYvx48UH6j1VRfZb
=Ne6V
-----END PGP SIGNATURE-----

--------------enig5939CEF3E04D607CF4E1C6D5--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Sylvain Sauvage
Le #16398371
Franck Joncourt, mercredi 23 juillet 2008, 23:16:03 CEST
[…]
daniel huhardeaux wrote:
> Quel est la solution pour les seveurs en Sarge?

Au pire, tu mets en place une règles iptables pour rendre le
port sourc= e
aléatoire pour les requêtes DNS et tu joues sur la durée
des connex= ions
udp au niveau de netfilter si nécessaire.

http://www.cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning-att =
acks-with-iptables.html



Moi j’aurais plutôt dit : « Au pire, tu mets à jour vers
Etch » :oP

Sarge n’a plus de mise à jour de sécurité, donc Sa rge ne doit
plus être utilisée s’il elle a des trous connus et non
corrigés/corrigeables (ou moins facilement corrigeables qu’une
mise à jour).
Plus ça va et plus il y aura de chances de trouver des
bogues/trous dans des programmes de Sarge.

[Franck, il semble que (ton ?) Thunderbird n’indique pas que
le texte est en Quoted-printable, c’est… gênant.]

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Le poulpe qui bloppe !
Le #16398951
Bonjour,

merci pour la piqure de rappel, moi je rajouterais en plus que selon
une etude (faut que je retrouve la source) tres peu de DNS sont
conformes aux RFC, pendant vos updates, faites vous un beau cadeau,
lisez une RFC ;)

Quelqu'un a-t-il une url pour tester un serveur distant qui n'a pas de
X, et ne peut pas surfer?

Bonne journee.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16399331
Le Wed, 23 Jul 2008 22:40:27 +0200
daniel huhardeaux
Quel est la solution pour les seveurs en Sarge?

:~$ apt-cache policy bind9
bind9:
Installé : 1:9.2.4-1sarge3
Candidat : 1:9.2.4-1sarge3
Table de version :
*** 1:9.2.4-1sarge3 0
500 ftp://ftp2.de.debian.org sarge/main Packages
500 http://security.debian.org sarge/updates/main Packages
100 /var/lib/dpkg/status



J'ai fait un backport de bind9 etch pour sarge. Je suis en train de le tester
sur un serveur. Tu le trouveras ici

deb http://boisson.homeip.net/debian sarge divers

Il utilises un backport de lsb-base de debian-backports que j'ai mis sur le
serveur.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16399421
> J'ai fait un backport de bind9 etch pour sarge. Je suis en train de le tester
sur un serveur. Tu le trouveras ici

deb http://boisson.homeip.net/debian sarge divers

Il utilises un backport de lsb-base de debian-backports que j'ai mis sur le
serveur.



:)

dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"81.57.102.55 is GOOD: 26 queries in 4.9 seconds from 26 ports with std dev 18138.70"

sur une sarge
# cat /etc/debian_version
3.1

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
daniel huhardeaux
Le #16399791
François Boisson a écrit :
Le Wed, 23 Jul 2008 22:40:27 +0200
daniel huhardeaux

Quel est la solution pour les seveurs en Sarge?

:~$ apt-cache policy bind9
bind9:
Installé : 1:9.2.4-1sarge3
Candidat : 1:9.2.4-1sarge3
Table de version :
*** 1:9.2.4-1sarge3 0
500 ftp://ftp2.de.debian.org sarge/main Packages
500 http://security.debian.org sarge/updates/main Packages
100 /var/lib/dpkg/status




J'ai fait un backport de bind9 etch pour sarge. Je suis en train de le tester
sur un serveur. Tu le trouveras ici

deb http://boisson.homeip.net/debian sarge divers

Il utilises un backport de lsb-base de debian-backports que j'ai mis sur le
serveur.



Milles merci François, le problème est règlé.

Bonne journée

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #16401441
This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enigF42275F0F1A97FB1A49A3887
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Sylvain Sauvage wrote:
Franck Joncourt, mercredi 23 juillet 2008, 23:16:03 CEST


[...]

http://www.cipherdyne.org/blog/2008/07/mitigating-dns-cache-poisoning- att=
acks-with-iptables.html



Moi j’aurais plutôt dit : « Au pire, tu mets à jour vers
Etch » :oP



C'est aussi une solution envisageable en effet :p! mais moins intére ssante.

[...]
[Franck, il semble que (ton ?) Thunderbird n’indique pas que
le texte est en Quoted-printable, c’est… gênant.]



J'ai fait des tests pour vérifier et il semble que j'ai fait une fau sse
manipulation la dernière fois. Je serais fixé avec ce mail.

Merci de votre compréhension.

--
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE


--------------enigF42275F0F1A97FB1A49A3887
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkiIYtAACgkQxJBTTnXAif4hVgCdGiN23KP5N3PltV0/5n9i3Sxq
kHYAnj/8dPeIK5+5fGZJll7oINxuGPcP
=stBg
-----END PGP SIGNATURE-----

--------------enigF42275F0F1A97FB1A49A3887--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Guy Roussin
Le #16424501
> J'ai fait un backport de bind9 etch pour sarge. Je suis en train de le tester
sur un serveur. Tu le trouveras ici

deb http://boisson.homeip.net/debian sarge divers

Il utilises un backport de lsb-base de debian-backports que j'ai mis su r le
serveur.


Merci François. J'utilise les paquets i386 de ton dépot.
Peux t-on avoir quelques détails supplémentaires sur la façon dont tu as procédé
pour construire ce backport de bind9 ?

Merci encore.

--
Guy

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16513261
Le Mon, 28 Jul 2008 11:31:29 +0200
Guy Roussin
> J'ai fait un backport de bind9 etch pour sarge. Je suis en train de le
> tester sur un serveur. Tu le trouveras ici
>
> deb http://boisson.homeip.net/debian sarge divers
>
> Il utilises un backport de lsb-base de debian-backports que j'ai mis sur le
> serveur.
Merci François. J'utilise les paquets i386 de ton dépot.
Peux t-on avoir quelques détails supplémentaires sur la façon dont tu as
procédé pour construire ce backport de bind9 ?



C'est relativement simple, chargement des sources de etch, installation des
dépendances via apt-get build-dep bind9, puis compilation en forçant
l'utilisation de debhelper version 4 (cela se fait en modifiant le fichier
debian/compat). Il n'y a pas eu de réelles difficultés, la seule chose est de
conserver un environnement sarge de développement (installé via debootstrap).

Je n'ai pas grand mérite pour bind9, il n'y a pas eu de difficulté...


François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme