Rappel : il est URGENT de mettre à jour les serveurs DNS récursifs, si ce n'est pas encore fait
3 réponses
Stephane Bortzmeyer
[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]
L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :
http://beezari.livejournal.com/141796.html
Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.
Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en
<http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).
plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France mais il est
probable que ce n'est pas meilleur.
Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
Pour tester votre résolveur, le meilleur outil Web est :
https://www.dns-oarc.net/oarc/services/dnsentropy
et le meilleur outil en ligne de commande est dig :
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Wykaaa
Stephane Bortzmeyer a écrit :
[C'est un rappel d'une information que vous avez certainement eu par ailleurs mais des indices semblent montrer que certains n'ont pas encore fait la mise à jour.]
L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky », annonce qui était prévue le 7 août, a été faite hier (par accident, parait-il, « Je nettoyais mon blog et le coup est parti ») :
http://beezari.livejournal.com/141796.html
Désormais, n'importe quel craqueur de la planète sait comment exploiter cette faille. On peut donc attendre des attaques d'un instant à l'autre.
Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne l'ont pas été (cf. message de l'AFNIC en <http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).
plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude similaire est en cours en France mais il est probable que ce n'est pas meilleur.
Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
Pour tester votre résolveur, le meilleur outil Web est :
https://www.dns-oarc.net/oarc/services/dnsentropy
Quand je clique sur le bouton de la page ci-dessus, j'obtiens cette réponse ; Firefox ne peut trouver le serveur à l'adresse 84fc56f461d1f445b514b12f.et.dns-oarc.net.
et le meilleur outil en ligne de commande est dig :
dig @X.Y.Z.T +short porttest.dns-oarc.net TXT
Quand j'applique cette commande (sous Mac OS 10.5.4) dans le terminal, j'obtiens : $ dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in 60 seconds" Je suis chez Orange (j'ai essayé plusieurs fois) et je suis connecté à l'ADSL avec un modem/routeur Netgear DG814 qui possède son propre firewall (j'ai activé le NAT). Je n'ai pas activé le firewall logiciel de Mac OS X.
Quand je fais le tests sur le site http://www.doxpara.com/, j'obtiens
the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 380.
Please talk to your firewall or gateway vendor -- all are working on patches, mitigations, and workarounds. Requests seen for 5b4f092cffb5.toorrr.com: 80.12.255.10:46113 TXID&252 80.12.255.10:46208 TXID2691 80.12.255.10:46340 TXIDc973 80.12.255.10:46414 TXID8853 80.12.255.10:46493 TXID653
J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases me paraissent obscures).
Merci beaucoup.
Wykaaa
Stephane Bortzmeyer a écrit :
[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]
L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :
http://beezari.livejournal.com/141796.html
Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.
Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en
<http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).
plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France mais il est
probable que ce n'est pas meilleur.
Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
Pour tester votre résolveur, le meilleur outil Web est :
https://www.dns-oarc.net/oarc/services/dnsentropy
Quand je clique sur le bouton de la page ci-dessus, j'obtiens cette
réponse ;
Firefox ne peut trouver le serveur à l'adresse
84fc56f461d1f445b514b12f.et.dns-oarc.net.
et le meilleur outil en ligne de commande est dig :
dig @X.Y.Z.T +short porttest.dns-oarc.net TXT
Quand j'applique cette commande (sous Mac OS 10.5.4) dans le terminal,
j'obtiens :
$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
60 seconds"
Je suis chez Orange (j'ai essayé plusieurs fois) et je suis connecté à
l'ADSL avec un modem/routeur Netgear DG814 qui possède son propre
firewall (j'ai activé le NAT).
Je n'ai pas activé le firewall logiciel de Mac OS X.
Quand je fais le tests sur le site http://www.doxpara.com/, j'obtiens
the NAT/Firewall in front of it appears to be interfering with its port
selection policy. The difference between largest port and smallest port
was only 380.
Please talk to your firewall or gateway vendor -- all are working on
patches, mitigations, and workarounds.
Requests seen for 5b4f092cffb5.toorrr.com:
80.12.255.10:46113 TXID&252
80.12.255.10:46208 TXID2691
80.12.255.10:46340 TXIDc973
80.12.255.10:46414 TXID8853
80.12.255.10:46493 TXID653
J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases
me paraissent obscures).
[C'est un rappel d'une information que vous avez certainement eu par ailleurs mais des indices semblent montrer que certains n'ont pas encore fait la mise à jour.]
L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky », annonce qui était prévue le 7 août, a été faite hier (par accident, parait-il, « Je nettoyais mon blog et le coup est parti ») :
http://beezari.livejournal.com/141796.html
Désormais, n'importe quel craqueur de la planète sait comment exploiter cette faille. On peut donc attendre des attaques d'un instant à l'autre.
Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne l'ont pas été (cf. message de l'AFNIC en <http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).
plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude similaire est en cours en France mais il est probable que ce n'est pas meilleur.
Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
Pour tester votre résolveur, le meilleur outil Web est :
https://www.dns-oarc.net/oarc/services/dnsentropy
Quand je clique sur le bouton de la page ci-dessus, j'obtiens cette réponse ; Firefox ne peut trouver le serveur à l'adresse 84fc56f461d1f445b514b12f.et.dns-oarc.net.
et le meilleur outil en ligne de commande est dig :
dig @X.Y.Z.T +short porttest.dns-oarc.net TXT
Quand j'applique cette commande (sous Mac OS 10.5.4) dans le terminal, j'obtiens : $ dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in 60 seconds" Je suis chez Orange (j'ai essayé plusieurs fois) et je suis connecté à l'ADSL avec un modem/routeur Netgear DG814 qui possède son propre firewall (j'ai activé le NAT). Je n'ai pas activé le firewall logiciel de Mac OS X.
Quand je fais le tests sur le site http://www.doxpara.com/, j'obtiens
the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 380.
Please talk to your firewall or gateway vendor -- all are working on patches, mitigations, and workarounds. Requests seen for 5b4f092cffb5.toorrr.com: 80.12.255.10:46113 TXID&252 80.12.255.10:46208 TXID2691 80.12.255.10:46340 TXIDc973 80.12.255.10:46414 TXID8853 80.12.255.10:46493 TXID653
J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases me paraissent obscures).
Merci beaucoup.
Wykaaa
Stephane Bortzmeyer
Wykaaa wrote:
Firefox ne peut trouver le serveur à l'adresse 84fc56f461d1f445b514b12f.et.dns-oarc.net.
Bizarre. Cause inconnue.
$ dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in 60 seconds" Je suis chez Orange
Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de leurs résolveurs rend le test inefficace (rien ne dit que cette particularité les rend plus ou moins sûrs).
Quand je fais le tests sur le site http://www.doxpara.com/,
Pas mal bogué, c'est pour cela que je ne le mettais pas en avant.
the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 380.
Erreur de diagnostic (il y a bien quelque chose de bizarre avec les résolveurs de Wanadoo mais ce n'est pas un routeur NAT).
J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases me paraissent obscures).
doxpara.com suppose qu'un NAT "dé-hasardise" les ports sources. C'est un problème courant mais je ne pense pas qu'Orange aie mis ses résolveurs derrière du NAT :-)
Wykaaa wrote:
Firefox ne peut trouver le serveur à l'adresse
84fc56f461d1f445b514b12f.et.dns-oarc.net.
Bizarre. Cause inconnue.
$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
60 seconds"
Je suis chez Orange
Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de
leurs résolveurs rend le test
inefficace (rien ne dit que cette particularité les rend plus ou moins
sûrs).
Quand je fais le tests sur le site http://www.doxpara.com/,
Pas mal bogué, c'est pour cela que je ne le mettais pas en avant.
the NAT/Firewall in front of it appears to be interfering with its port
selection policy. The difference between largest port and smallest port
was only 380.
Erreur de diagnostic (il y a bien quelque chose de bizarre avec les
résolveurs de Wanadoo mais ce n'est pas un routeur NAT).
J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases
me paraissent obscures).
doxpara.com suppose qu'un NAT "dé-hasardise" les ports sources. C'est un
problème courant mais je ne pense pas qu'Orange aie mis ses résolveurs
derrière du NAT :-)
Firefox ne peut trouver le serveur à l'adresse 84fc56f461d1f445b514b12f.et.dns-oarc.net.
Bizarre. Cause inconnue.
$ dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in 60 seconds" Je suis chez Orange
Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de leurs résolveurs rend le test inefficace (rien ne dit que cette particularité les rend plus ou moins sûrs).
Quand je fais le tests sur le site http://www.doxpara.com/,
Pas mal bogué, c'est pour cela que je ne le mettais pas en avant.
the NAT/Firewall in front of it appears to be interfering with its port selection policy. The difference between largest port and smallest port was only 380.
Erreur de diagnostic (il y a bien quelque chose de bizarre avec les résolveurs de Wanadoo mais ce n'est pas un routeur NAT).
J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases me paraissent obscures).
doxpara.com suppose qu'un NAT "dé-hasardise" les ports sources. C'est un problème courant mais je ne pense pas qu'Orange aie mis ses résolveurs derrière du NAT :-)
Zavier
Stephane Bortzmeyer racontait :
Wykaaa wrote:
> $ dig +short porttest.dns-oarc.net TXT > z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. > "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in > 60 seconds" > Je suis chez Orange Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de leurs résolveurs rend le test inefficace
Ici ça semble fonctionner (à part le délire sur la durée, bien sûr) :
D:>dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.12.255.10 is GOOD: 57 queries in 113645.8 seconds from 57 ports with std dev 17661.87"
Quant au test navigateur, j'ai un résultat sensiblement identique à celui de Wykaaa. -- Amicalement, Xavier In Reply-To veritas Vivement le temps des cerises.
Stephane Bortzmeyer racontait :
Wykaaa wrote:
> $ dig +short porttest.dns-oarc.net TXT
> z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
> "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
> 60 seconds"
> Je suis chez Orange
Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de
leurs résolveurs rend le test inefficace
Ici ça semble fonctionner (à part le délire sur la durée, bien sûr) :
D:>dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.12.255.10 is GOOD: 57 queries in 113645.8 seconds from 57 ports
with std dev 17661.87"
Quant au test navigateur, j'ai un résultat sensiblement identique à
celui de Wykaaa.
--
Amicalement,
Xavier
In Reply-To veritas
Vivement le temps des cerises.
> $ dig +short porttest.dns-oarc.net TXT > z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. > "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in > 60 seconds" > Je suis chez Orange Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de leurs résolveurs rend le test inefficace
Ici ça semble fonctionner (à part le délire sur la durée, bien sûr) :
D:>dig +short porttest.dns-oarc.net TXT z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net. "80.12.255.10 is GOOD: 57 queries in 113645.8 seconds from 57 ports with std dev 17661.87"
Quant au test navigateur, j'ai un résultat sensiblement identique à celui de Wykaaa. -- Amicalement, Xavier In Reply-To veritas Vivement le temps des cerises.