Rappel : il est URGENT de mettre à jour les serveurs DNS récursifs, si ce n'est pas encore fait

Le
Stephane Bortzmeyer
[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]

L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :

http://beezari.livejournal.com/141796.html

Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.

Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en
<http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).

Mais, selon cette étude états-unienne :

http://www.hackerfactor.com/blog/index.php?/archives/204-Poor-DNS.html

plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France mais il est
probable que ce n'est pas meilleur.

Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.

Pour tester votre résolveur, le meilleur outil Web est :

https://www.dns-oarc.net/oarc/services/dnsentropy

et le meilleur outil en ligne de commande est dig :

dig @X.Y.Z.T +short porttest.dns-oarc.net TXT

(Cf. https://www.dns-oarc.net/oarc/services/porttest)

http://www.bortzmeyer.org/faille-dns-empoisonnement.html
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Wykaaa
Le #16401631
Stephane Bortzmeyer a écrit :

[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]

L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :

http://beezari.livejournal.com/141796.html

Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.

Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en


Mais, selon cette étude états-unienne :

http://www.hackerfactor.com/blog/index.php?/archives/204-Poor-DNS.html

plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France mais il est
probable que ce n'est pas meilleur.

Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.

Pour tester votre résolveur, le meilleur outil Web est :

https://www.dns-oarc.net/oarc/services/dnsentropy



Quand je clique sur le bouton de la page ci-dessus, j'obtiens cette
réponse ;
Firefox ne peut trouver le serveur à l'adresse
84fc56f461d1f445b514b12f.et.dns-oarc.net.

et le meilleur outil en ligne de commande est dig :

dig @X.Y.Z.T +short porttest.dns-oarc.net TXT



Quand j'applique cette commande (sous Mac OS 10.5.4) dans le terminal,
j'obtiens :
$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
60 seconds"
Je suis chez Orange (j'ai essayé plusieurs fois) et je suis connecté à
l'ADSL avec un modem/routeur Netgear DG814 qui possède son propre
firewall (j'ai activé le NAT).
Je n'ai pas activé le firewall logiciel de Mac OS X.

(Cf. https://www.dns-oarc.net/oarc/services/porttest)

http://www.bortzmeyer.org/faille-dns-empoisonnement.html




Quand je fais le tests sur le site http://www.doxpara.com/, j'obtiens

the NAT/Firewall in front of it appears to be interfering with its port
selection policy. The difference between largest port and smallest port
was only 380.

Please talk to your firewall or gateway vendor -- all are working on
patches, mitigations, and workarounds.
Requests seen for 5b4f092cffb5.toorrr.com:
80.12.255.10:46113 TXID&252
80.12.255.10:46208 TXID2691
80.12.255.10:46340 TXIDc973
80.12.255.10:46414 TXID8853
80.12.255.10:46493 TXID653

J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases
me paraissent obscures).

Merci beaucoup.

Wykaaa
Stephane Bortzmeyer
Le #16411681
Wykaaa wrote:

Firefox ne peut trouver le serveur à l'adresse
84fc56f461d1f445b514b12f.et.dns-oarc.net.



Bizarre. Cause inconnue.

$ dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
60 seconds"
Je suis chez Orange



Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de
leurs résolveurs rend le test
inefficace (rien ne dit que cette particularité les rend plus ou moins
sûrs).

Quand je fais le tests sur le site http://www.doxpara.com/,



Pas mal bogué, c'est pour cela que je ne le mettais pas en avant.

the NAT/Firewall in front of it appears to be interfering with its port
selection policy. The difference between largest port and smallest port
was only 380.



Erreur de diagnostic (il y a bien quelque chose de bizarre avec les
résolveurs de Wanadoo mais ce n'est pas un routeur NAT).

J'aimerais comprendre le message concernant NAT/Firewall (les 2 phrases
me paraissent obscures).



doxpara.com suppose qu'un NAT "dé-hasardise" les ports sources. C'est un
problème courant mais je ne pense pas qu'Orange aie mis ses résolveurs
derrière du NAT :-)
Zavier
Le #16411791
Stephane Bortzmeyer racontait :

Wykaaa wrote:

> $ dig +short porttest.dns-oarc.net TXT
> z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
> "80.12.255.5 is UNKNOWN: Only received 4 queries. Please try again in
> 60 seconds"
> Je suis chez Orange
Oui, c'est un problème connu avec Wanadoo/Orange, une particularité de
leurs résolveurs rend le test inefficace



Ici ça semble fonctionner (à part le délire sur la durée, bien sûr) :

D:>dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"80.12.255.10 is GOOD: 57 queries in 113645.8 seconds from 57 ports
with std dev 17661.87"

Quant au test navigateur, j'ai un résultat sensiblement identique à
celui de Wykaaa.
--
Amicalement,
Xavier
In Reply-To veritas
Vivement le temps des cerises.
Publicité
Poster une réponse
Anonyme