DNS bug

Vie Jul 18 13:49:47 CLT 2008

On Fri, 2008-07-18 at 13:10 -0400, Mauricio Vergara Ereche wrote:
> On Thursday 17 July 2008 18:00:51 Alvaro Herrera wrote:
> > Horst H. von Brand escribió:
> > > Segun entiendo, en Linux esa aleatorizacion la hace el nucleo sin
> > > requerir intervencion de la aplicacion, asi que en principio aca no
> > > habria problema. Claro que no se ha dicho exactamente cual es el
> > > problema, asi que...
> 
> El problema *es* grave... los detalles los dará a conocer Kaminski en el Black 
> Hat de Agosto.
> Hasta el momento no hay exploit dando vuelta en el público, porque aún se 
> espera que todos parchen sus servidores recursivos. (La gente que usa bind, 
> buscando sus versiones *-P1, otra alternativa es ocupar unbound de 
> NLnetlabs).
> 
> En cuanto al kernel de linux, aún no está muy claro si el problema afecta o no 
> al núcleo... Florian Weiner (un destacado investigador del mundo DNS) al 
> menos publicó lo siguiente:
> http://seclists.org/fulldisclosure/2008/Jul/0070.html
> 
> > Por lo que leí, la única implementación que no era vulnerable era djbdns
> > de Dan Bernstein.  
> 
> y la de unbound
> 
> > En el blog del investigador se comentaba que Paul 
> > Vixie estaba algo avergonzado de haber tenido que darle la razón a DJB
> > en este tema :-)
> 
> Una nota/entrevista al respecto de Vixie:
> http://www.circleid.com/posts/87143_dns_not_a_guessing_game

Ya que estamos por las recomendaciones, en O'Reilly News se encuentra
una exposición (junto a su correspondiente transcripción) de Dan
Kaminsky:

http://news.oreilly.com/2008/07/dan-kaminsky-upgrade-your-dns.html


-- 
Germán Póo-Caamaño
http://www.calcifer.org/