• Поиск на сайте
• Реклама на сайте

• ЧАВО он же FAQ
• Перейти на форум

В системе интернет-адресации выявлена и исправлена ошибка   →  Домены и регистраторы

• Владельцы Windows-, Linux-, Unix- и Mac-серверов уже могли обратить внимание на то, что для их систем во вчерашнего вечера доступна новая версия используемого DNS-сервера (например Bind). Выпустили обновления и крупные вендоры сетевого оборудования, такие как Cisco.
  
  Ошибка, в результате которой пришлось “пропатчить интернет”, на техническом сленге именуется, как “отравление DNS-кэша”. На практике она позволяет подменить ряд записей в DNS-серерверах таким образом, что бы при наборе какого-либо привычного адреса сайта, например www.cybersecurity.ru, пользователь отправлялся прямиком на сайт хакеров. Та же опасность касается и трафика электронной почты. Ситуация осложняется тем, что данный баг является в чистом виде серверным, а потому как-либо защититься от него с рабочего компьютера невозможно.
  
  Данная фундаментальная уязвимость была обнаружена еще в прошлом году экспертом компании IO Active Дэном Камински, однако ввиду ее особой опасности сам Камински и IO Active предоставили данные о ней только легитимным разработчикам софта, а широкая общественность лишь знала о факте некой “серьезной” уязвимости в DNS.
  
  На практике при помощи данной ошибки злоумышленник, при наличии определенных знаний и сноровки мог перенаправить весь трафик с какого-либо домена, например google.com, на сторонние серверы, в результате чего все закрытые данные, передаваемые легальному сайту, оказывались в полном распоряжении злоумышленников.
  
  Сам Дэн Камински рассказывает, что когда ему удалось обнаружить указанную уязвимость, то вначале он сообщил об этом в листы рассылки US CERT (U.S. Computer Emergency Readiness Team), а также в несколько крупных компаний, производящих системное программное обеспечение. Понимая серьезность ситуации, все осведомленные стороны согласились держать имеющиеся у них данные в секрете. В итоге в марте этого года в штаб-квартире Microsoft состоялась встреча 16 ведущих мировых вендоров, где был выработан план по исправлению ошибки, а также утвержден график выпуска патчей или новых версий серверного ПО.
  
  Вчера вечером Microsoft вместе с традиционным ежемесячным набором исправлений, выпускаемым в первый вторник каждого месяца, обновила систему управления доменными именами в серверных Windows. Свои патчи получили и пользователи оборудования Cisco. Также вчера на сайте Internet Systems Consortium была опубликована и новая версия системы Bind, одновременно с этим вышли новые версии этого пакета для крупнейших Linux-систем: Red Hat, Suse, Mandriva, Ubuntu и других.
  
  Сам Камински говорит, что несмотря на серьезность ошибки, ему не удалось обнаружить в сети случаи использования данной проблемы. “Вендоры достигли соглашения, по которому изменения, внесенные с серверы, практически не затрагивают работу существующих инфраструктур, но минимизируют возможность использования уязвимости”, - говорит он.
  
  Несколько поясним суть ошибки. Вся работа глобальной сети фактически зависит от работы доменной системы. Основная задача системы доменных имен (DNS) заключается в преобразовании буквенных доменов в их числовые аналоги или ip-адреса. Система фактически работает в две стороны - то есть транслирует домены в ip-адреса и наоборот. В глобальной сети существуют около 200 000 средних и крупных DNS-серверов, обслуживающих миллионы пользователей однако вся доменная архитектура организована по цепочке, то есть разрешение имен идет от корневых серверов, но каждый DNS-сервер имеет свой головной сервер, с которого он получает необходимые для работы данные о доменах и ip-адресах.
  
  Вот в этом-то механизме и кроется ошибка. Механизм передачи доменной информации и ее идентификация являются слабым звеном всей системы DNS. Подчиненный сервер не может определить, являются выданные на его запросы DNS-разрешения легальными данным с авторитативного сервера или это сгенерированные хакером поддельная информация. Для идентификации DNS-пакеты используют случайные идентификационные номера, но проблема в том, что этих “случайных” номеров, используемых как идентификаторы, всего 65 000. Более того, у каждого сервера есть определенная последовательность создания “случайных” запросов, поэтому злоумышленник может подделать “случайный номер” и подать DNS-серверу неверную информацию о доменах и соответствующих им адресах.
  
  Старший программный менеджер Internet Systems Consortium Джоа Дамас говорит, что разработчикам DNS-серверов пришлось пересмотреть механизм генерации “случайных номеров”, чтобы снять лимит в 65 000 последовательностей, а кроме того, добавить защитные механизмы, позволяющие серверу быстро “забыть” некорректные данные. Помимо этого, на сайте US CERT изложены и другие рекомендации по защите - http://www.us-cert.gov/current/index.html#dns_implementations_vulnerable_to_cache, сообщает cybersecurity.ru.

• Новость опубликовал:expert   ›

  Комментариев: (0 ) Просмотров:208 Добавлено:18 июля 2008 Обсудить на форуме

Пожалуйста, обратите ваше внимание!

Эти новости, наверника, будут вам интересны:

ЧТО ТАКОЕ DNS
Новая версия Opera 9.5
уже сегодня доступны выделенные серверы нового поколения
Увеличение видимости сайта по ключевым словам
Платный хостинг

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

Комментарии пользователей: