Sind multid oder dnsmasq anfällig für cache poisoning ?

[Theodor]

Hallo,

Es scheint derzeit ein größeres Sicherheits-Problem mit DNS-Servern zu geben. Dabei sind wohl sehr viele verschieden DNS-Server betroffen. Auch in Freetz gibt es kleine DNS-Server (dnsmasq und multid ?). Sind die auch betroffen oder nicht ?

Gruß,
Theodor

Massives DNS-Sicherheitsproblem gefährdet das Internet
http://www.heise.de/newsticker/meldung/110641

Vulnerability Note VU#800113
Multiple DNS implementations vulnerable to cache poisoning
http://www.kb.cert.org/vuls/id/800113

 

[McNetic]

Das ganze ist nur dann ein Problem, wenn jemand es schafft, die Antworten des DNS-Servers zu fälschen (bzw. Dir Antworten zu schicken, die so aussehen, als kämen sie von dem Server). Ich denke, da der Server nur im lokalen Netz betrieben wird, ist das Angriffsszenario da nicht gegeben.

 

[RalfFriedl]

Da im Moment nicht ganz klar ist, wo das Problem liegt, und angeblich alle Server betroffen sein sollen, könnte es durchaus sein, daß such diese beiden Server betroffen sind.

Es gab mal einen Bericht über eine Möglichkeit, eine Schwäche bei der Nummerierung der DNS-Anfragen auszunutzen, wenn diese nicht ganz zufällig erstellt wurden. Vielleicht ist dies auch etwas Ähnliches.

 

[Kaffeeschlürfer]

Hi,

Es scheint derzeit ein größeres Sicherheits-Problem mit DNS-Servern zu geben. Dabei sind wohl sehr viele verschieden DNS-Server betroffen. Auch in Freetz gibt es kleine DNS-Server (dnsmasq und multid ?). Sind die auch betroffen oder nicht ?

Noch ist ja nichts genauers bekannt, Dan Kaminsky will Details ja erst demnächst bekannt geben. Aber das ganze soll wohl auf einer Designschwäche basieren und daher sind alle DNS-Caching-Server davon betroffen. Das ganze ist nichts neues, DNS läuft über UDP was wohl ein/das Problem ist, nur hat Dan Kaminsky einen Weg gefunden, das "DNS-Cache-Poisoning" effektiv auszunutzen.

Die Updates, die in dem Heiseartikel erwähnt werden, sollen alle auch nicht das Problem beheben, es ist ja auch kein Fehler sondern so im Design vorgesehen, es wird das Ausnutzen nur erschwert. Einige Implementierungen wie zB djbdns erschweren diese Art von Angriffen schon seit Jahren, andere sind nachgezogen und zB der Macher von dnsmasq plant eine entsprechende (optionale) Erweiterung zu erstellen.

Die aktuelle "Lösung" besteht darin, den Quellport von DNS-Anfragen zufällig zu wählen. Der dnsmasq auf meiner FritzBox mit freetz 1.0 wählt zB immer den Port 53. Würde der Port zufällig gewählt, dann wäre die Wahrscheinlichkeit für einen erfolgreichen Angriff (wie auch immer der aussehen würde) im besten Fall um den Faktor 2^16 kleiner da auch der richtige Quellport geraten werden müsste.

Kaffeeschlürfer

 

[Theodor]

dnsmasq infos

http://www.thekelleys.org.uk/dnsmasq/CHANGELOG -> version 2.43 ( 11-Jul-2008 )
> Implement random source ports for interactions with
> upstream nameservers. New spoofing attacks have been found
> against nameservers which do not do this, though it is not
> clear if dnsmasq is vulnerable, since to doesn't implement
> recursion. By default dnsmasq will now use a different
> source port (and socket) for each query it sends
> upstream. This behaviour can suppressed using the
> --query-port option, and the old default behaviour
> restored using --query-port=0. Explicit source-port
> specifications in --server configs are still honoured.

D.h. es ist unklar ob dnsmasq derzeit betroffen ist, mit der nächsten freetz-Version sollte das Problem aber behoben sein, sofern dnsmasq aktualisiert wird. (Keine Ahnung wie sich multid verhält.)

 

[Theodor]

Weitere Infos

Debian scheint das Problem für schwerwiegend genug zu halten, ein Security-advisory für seine dnsmasq Packages heraus zu bringen:

Debian Security Advisory DSA-1623-1
Package : dnsmasq
Vulnerability : DNS cache poisoning
Problem type : remote
Debian-specific: no
CVE Id(s) : CVE-2008-1447
http://www.debian.org/security/2008/dsa-1623
(URL sollte bald verfügbar sein)


Außerdem sind die Details des DNS-Problems mittlerweile da:

Details zum DNS-Sicherheitsproblem veröffentlicht
http://www.heise.de/newsticker/meldung/113266


Eine weitere Meldung enthält auch noch spezielle infos zu dnsmasq:

Exploits für DNS-Schwachstellen veröffentlicht
http://www.heise.de/newsticker/meldung/113266

Zwar weisen auch DSL-Router eine DNS-Funktion auf, allerdings cachen diese in der Regel nicht und arbeiten auch nicht rekursiv, sondern reichen eine Anfrage des Client an den Nameserver des Providers durch. Einzig Anwender des freien Router-Betriebssystems OpenWrt könnten in der Bredouille stecken, weil der Standard-DNS-Dienst dnsmasq laut eines Fehlerberichts für Cache-Poisoning verwundbar ist. Zwar löst das Update 2.43 das Problem, enthält aber aufgrund der Eile des Fixes einen Fehler, der bei bestimmten DHCP-Paketen zum Absturz führt. Zudem dürften OpenWrt-Anwender und weitere Distributionen wie DD-Wrt nicht so schnell mit eigenen Paketen nachziehen. Glücklicherweise tritt das DNS-Problem nur auf, wenn die Option --query-port gesetzt ist. Ist sie nicht gesetzt, ist dnsmasq auch nicht verwundbar. http://article.gmane.org/gmane.network.dns.dnsmasq.general/2176​

 

[knox]

Schon seit dem 21.7. ist dnsmasq 2.45 in freetz enthalten