Faille DNS: savoir si on est vulnerable? c'est ici ;-)
Le
Pierre
Bonjour tout le monde
Vous pouvez tester votre vulnérabilité DNS à cette faille ici:
http://www.doxpara.com/
Cordialement,
Pierre
Vous pouvez tester votre vulnérabilité DNS à cette faille ici:
http://www.doxpara.com/
Cordialement,
Pierre
Que faire à part attendre qu'il patche ?
DAPL a écrit :
Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.
Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?
Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.
Non, je n'utilise que BIND 9 sous GNU/Linux.
Pas sûr. C'est une faille résultant d'un mauvais choix de conception.
Les logiciels dont les développeurs n'ont pas fait ce mauvais choix ne
sont pas vulnérables, même s'ils sont vieux. De toute façon tu peux
vérifier avec le lien fourni en début de fil. Par contre il a peut-être
d'autres failles ou bugs.
Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.
Voilà un exemple de vieux machin qui n'a pas besoin d'être patché contre
cette vulnérabilité parce que son développeur avait fait le bon choix de
conception dès le départ.
Ah ben effectivement, Posadis semble fonctionner correctement. :-)
Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.
Je ne sais pas pour la version Windows, mais la version empaquetée pour
Debian s'installe toute seule et est configurée par défaut pour servir
de cache récursif local. Ceci dit je reconnais qu'il y sûrement plus
simple que BIND pour un simple cache récursif.
C'est a dire que le site teste la faille ?
Je pensais qu'il se contentait de verifier la version du soft DNS.
Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé. Ça regarde si les requêtes ont
toujours le même port source ou un port aléatoire. Ça vérifie peut-être
aussi le caractère aléatoire de l'ID de requête.
Je ne crois pas qu'il existe une méthode fiable pour cela.
Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...
--
Pourquoi le Poulet a traversé la rue ?
* Isaac Asimov : La Troisième Loi des Poulets stipule qu'un poulet doit
protéger sa propre existence sauf si cette protection le force à désobéir
à un ordre humain ou à blesser un humain.
Le code ne fait pas grand-chose : il se contente d'afficher, dans une
iframe, la page
http://<session>.toorrr.com/printme.html
où "<session>" est remplacé par 12 caractères hexadécimaux ([a-f0-9])
choisis au hasard.