Hi all,
 
Suite à l'alerte de sécurité sur le DNS cache poisoning, comme beaucoup d'autre je me suis empressé d'effectuer les maj (software...) qui s'imposaient.
 
Oui mais voilà, la faille est lié à un problème de design du système DNS, et sont touchés quasiment tous les systèmes de gestions DNS (BIND entre autre), et les routeurs fonctionnants pour la plupart sous une mini-distrib linux sont donc touchés  
 
Comment faire pour corriger la faille si le constructeur / équipementier de certains routeurs ne sort pas de MAJ des firmawares correspondants ?

J'ai l'impression que tu connais déjà la réponse en fait.

Oui mais bon.....l'ampleur du problème étant importante, peut-on espérer une mise à disposition (même tardive) des firmwares ? (parce que s'il faut changer de routeur pour un plus récent parce que le fabricant a choisit de ne plus assurer le suivi.......ça va miauler chez les administrateurs ! )

J'ai envoyé un mail pour prévenir mon FAI que leur DNS était pas secure. Ils sont au courant mais n'ont pas la MAJ. Donc ils attendent.
Pour mes équipements réseaux (routeur principalement), j'ai prévenu le principal fabricant mais là j'ai eu aucune réponse.
Contrairement à ce que j'ai pu lire dans certaines news, j'ai bien l'impression qu'ils n'ont pas prévenus tout le monde quand ils ont découverts cette fameuse faille, et que beaucoup de fabricants/développeurs sont encore à la bourre!! Ca fait peur quand même  

je sais pas si c'est à cause de ça mais en tout cas aujourd'hui, j'ai eu pas mal de pages web avec des erreurs DNS (dont google....)

Pour les petits équipements, genre petits routeurs fonctionnant sous une mini distrib linux pas à jour, je pense que le plus simple pour le particulier c'est de ne pas effectuer de requête DNS en passant par son routeur mais d'interroger les DNS du FAI en direct – en admettant que les DNS du FAI soient patchés - (pour faire bref : ne pas définir l'IP du routeur comme serveur DNS, mais ceux du FAI, si patchés). ça donne un workaround au problème mais cela ne le résout pas malheureusement !
Corrigez-moi si j'ai dis une bêtise...
 
Edit : Désolé, j'ai pas vu que j'étais dans la catégorie Systèmes et réseaux pro  

Oui ok c'est vrai, mais le problème c'est que les serveurs DNS du FAI vont se bouffer toutes les requêtes DNS internes du LAN, non ?   (non pas que ça risque de saturer les serveurs DNS du FAI, mais côté confidientialité du réseau interne, c'est pas génial)

Si te es dans un domaine MS, tu ne peux pas faire pointer les DNS de tes clients sur ceux de ton FAI!. C'est ton AD qui pointe vers les DNS de ton FAI (au niveau des redirecteurs DNS).
Par contre si pas de domaine et que tes clients passent par des routeurs pour aller sur Internet, alors oui la seule solution est pour le moment de faire pointer les clients vers les DNS du FAI (si bien sûr, ces derniers sont patchés. Ceux qui n'est pas forcément le cas à l'heure actuelle).

Oui oui dans le cas d'un domaine avec AD, ça se fera au niveau des PDC/BDC, mais effectivement, pour les machines hors domaine MS, ça va pointer directement vers les DNS du FAI    (qui ont été patché - j'ai vérifié - 24h après l'annonce)

 
Sérieux ?  
 
 
Pas de soucis chez nous, heureusement.

Je te rassure, depuis ils ont effectivement rectifiés le tir et assez rapidement d'ailleurs . Désolé de ne pas avoir mis à jour mon post.
Par contre, toujours aucune nouvelle pour le fabricant de mes routeurs

 
Ils attendent p-e que Daminsky en dévoile plus long sur son exploit le 7 aout prochain à la Black Hat (c'est un fait avéré que seuls quelques ingénieurs très haut placés chez les grands équipementiers et développeurs sont au courant de la manière d'exploiter cette faille, et certains outsiders attendent encore d'avoir des infos supplémentaires)

En effet Anvil, je pense que ça va se passer comme cela. Dommage qu'encore une fois, se sont les plus petits (fabricants) qui risquent le plus
 
A noter, pour ceux que ça intéresse, un excellent article sur cette faille et la polémique qui en découle:
http://securite.reseaux-telecoms.n [...] 18500.html

Les tenants et aboutissants de cette faille ne sont pas encore connus mais les risques sont-ils si élevés ? Pour le cas d'un serveur web sous linux, si son BIND n'est pas à jour, que risque-t-il ?  
Si j'ai bien compris, dans le pire des cas, s'il fait lui-même une requête vers l'extérieur il risque d'être réorienté vers un autre serveur c'est ça ? Si c'est un site tout simple il ne risque rien ?

Sachant que le service DNS est un des fondement du Web, oui les risques sont extrêmements élevés. Concernant BIND (version 9), un patch est dispo depuis début juillet.
 
Des news sur l'exploit :  
 
http://www.clubic.com/actualite-15 [...] e-dns.html

Ce n'est pas gagné :
 
http://www.silicon.fr/fr/news/2008 [...] _americain