(Courriels de diversion: <frola@cloner-parques.com> <subventionnerait@butins-cheques-restaurant.com> <murs@goberai-constituant.com> <caracterisee@embrouillements-compatirais.com> <neurologue@epinglee-faillit.com> <quadrillerai@commentions-carminee.com> <accuser@devaluerais-cambres.com> <edifierons@inexistence-assistais.com> <florins@embourgeoisement-hivernants.com> <ruisseler@diademe-precisaient.com> )


Pascal Hambourg a écrit :
Jean-Michel a écrit :

    DSA-1603-1 bind9 -- DNS cache poisoning

http://www.debian.org/security/2008/dsa-1603

Par ailleurs, est-ce que bind9 est nécessaire sur un poste client?

Non, pas s'il peut utiliser un ou plusieurs DNS caches récursifs fiables. En clair s'il y en a déjà un dans le réseau local ou si ceux du FAI ne sont pas trop pourris.

A noter que :

- D'après <http://www.fr.debian.org/security/2008/dsa-1605> le resolver de la libc est aussi affecté par cette vulnérabilité. Par conséquent un poste client utilisant directement les DNS du FAI ou sur un LAN non sûr peut être affecté.

- Seule la fonction cache récursif de BIND est affectée, pas la fonction serveur faisant autorité. Pas de panique si vous avez un BIND qui ne fait que servir des zones.

- L'annonce de sécurité Debian indique que les autres caches DNS récursifs inclus dans Debian (PowerDNS, MaraDNS, Unbound) sont moins affectés que BIND car ils randomisent le port source. Il serait intéressant de savoir ce qu'il en est du resolver de djbdns.

Pour ceux qui ont au moins un noyau 2.6.21 et iptables 1.3.8, il est possible de randomiser le port source des requêtes DNS en UDP sur IPv4 avec le NAT d'iptables, par exemple :

iptables -t nat -A POSTROUTING -p udp --dport 53 -j MASQUERADE --random

-----------------------------------------------------------------
Les listes de diffusion du CULTe - Pour une informatique libre
http://www.CULTe.org/listes/
Pour se desabonner:
mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER