Faille critique (corrigée) dans le protocole DNS

®om · Le 09/07/2008, à 13:56

Ça n'est pas vraiment de l'«Actualité autour du logiciel libre», mais simplement de l'«Actualité informatique».

PCInpact a écrit :

Une faille très sérieuse dans le protocole DNS (Domain Name System) a été découverte, plus tôt dans l’année, par Dan Kaminski de IOActive. Ce dernier a alors averti les autorités américaines, notamment la défense nationale, puis a ensuite travaillé à organiser, parmi les entreprises concernées, la sortie synchronisée de patchs pour tous les logiciels et systèmes d’exploitation qui pourraient être touchés.
La faille, révélée depuis quelques heures, est dans la conception même du protocole DNS. Pour rappel, ce dernier est un système permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine. L’importance de la faille permet théoriquement à un utilisateur malintentionné de venir modifier les données du cache sur le serveur (« cache poisoning ») et donc de potentiellement rediriger tous les sites vers d’autres destinations. On imagine sans mal les risques d'un tel processus pour les sites ultra-sensibles comme les sites de banques, pour ne citer qu'eux.
Une pluie de correctifs
Une majorité des éditeurs impliqués dans la correction de la faille, dont Microsoft, a déjà lancé une série de correctifs pour un nombre important de systèmes d’exploitation et de logiciels. Tous ces correctifs sont déjà disponibles de manière automatique. Le but était d’attendre une sortie synchronisée pour minimiser les risques de retour de flamme après la publication des mises à jour, bien que le reverse engineering ne soit, dans ce cas, pas directement possible.
Il s’agit du lancement synchronisé le plus important de l’histoire de l’informatique. Jamais auparavant autant d’acteurs ne s’étaient entendus sur une solution commune, tout en gardant un silence de plomb sur l’étendue du problème, ainsi que ses détails. Ces derniers seront d’ailleurs révélés par Dan Kaminski lors de la prochaine conférence Black Hat, le 6 août. Selon lui, le danger n’est pas chez les particuliers, qui bénéficient en majeure partie de mises à jour automatiques, mais chez les FAI et toutes les entreprises impliquées ou non dans le fonctionnement d’Internet.
Pas d'exploitation à ce jour
Il n’y a, à ce jour, aucune preuve d’une quelconque attaque qui aurait profité de cette faille. Il faut par ailleurs noter que Dan Kaminski a mis en ligne un test qui permet de vérifier rapidement si tel ou tel serveur est vulnérable. Dans le cas de Microsoft, le correctif est publié dans les mises à jour qui sont apparues cette nuit, et dont le descriptif sera publié sous peu dans nos colonnes. On pourra également consulter l'avis du CERT-US sur ce thème.

http://www.pcinpact.com/actu/news/44694-serveurs-dns-dan-kaminski-correctifs.htm

À lire également:
http://www.lemonde.fr/technologies/article/2008/07/09/les-geants-de-l-informatique-mondiale-collaborent-pour-resoudre-une-faille-de-securite_1067967_651865.html
http://www.clubic.com/actualite-150722-gestion-dns-faille-precedent.html
http://www.silicon.fr/fr/news/2008/07/09/la_faille_dns_qui_fait_trembler_le_monde_de_la_securite
http://www.lepoint.fr/actualites-technologie-internet/internet-l-a-echappe-belle/1387/0/259096
http://www.zdnet.fr/actualites/internet/0,39020774,39382233,00.htm

Cela concerne les seveurs ET les clients.
Une mise à jour a été diffusée aujourd'hui sur Ubuntu.

Pour tester votre dns utilisé :
http://doxpara.com/

Dernière modification par ®om (Le 09/07/2008, à 17:00)

Adhémar · Le 09/07/2008, à 16:59

C'est bizarre, chez moi, il me dit que ce n'est pas corrigé, malgré la MàJ de ce matin...

Your name server, at ***.***.***.***, appears vulnerable to DNS Cache Poisoning

Le problème vient de mon FAI, non ?

®om · Le 09/07/2008, à 17:00

Adhémar a écrit :

C'est bizarre, chez moi, il me dit que ce n'est pas corrigé, malgré la MàJ de ce matin...
Your name server, at ***.***.***.***, appears vulnerable to DNS Cache Poisoning
Le problème vient de mon FAI, non ?

Ouais, je pense.

Moi ça me le fait au boulot (vulnerable), mais chez moi (free) c'est ok (ubuntu mis à jour dans les 2 cas).

ogaby · Le 09/07/2008, à 18:13

Je confirme pour le FAI. J'ai fait le test et là il me sort une faille sur un DNS. Copier/coller de l'adresse dans google et je trouve mon FAI.

lignux · Le 09/07/2008, à 18:33

Bonjour,

Savez-vous si la mise a jour a déjà été faite sur Ubuntu (Hardy 64 bits). Je n'ai eu aucune mise à jour aujourd'hui...

Mais est-il nécessaire de modifier quelque chose au niveau d'Ubuntu lui-même?
Et qu'en est-il du browser : nécessite-t-il aussi une MAJ?

J'avais cru comprendre que cette faille ne touchait que les serveurs DNS. Qu'est-ce-que le client a comme "responsabilité" dans l'affaire ?

Tout ceci n'est pas très clair...

Merci!

®om · Le 09/07/2008, à 19:14

http://www.silicon.fr/fr/news/2008/07/09/faille_dns___mauro_israel__on_a_frole_le_big_one_

lisez cet article, à croire que seul windows a corrigé la faille

sonal · Le 09/07/2008, à 19:25

®om a écrit :

http://www.silicon.fr/fr/news/2008/07/09/faille_dns___mauro_israel__on_a_frole_le_big_one_

le mec qui parle sur silicon.fr a écrit :

Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte. Si l’on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System. Quand vous savez que ce fichier est facilement modifiable sous Windows XP (pas sous Vista) cela pose des questions cruciales. Ce fichier retrace toutes les adresses IP consultées, quelqu’un qui s’y introduirait aurait alors accès à une multitude de données.
Ce type de problème est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.

Sous linux, le fichier hosts (/etc/hosts) n'est modifiable que par l'administrateur, et ne contient que ce que l'administrateur aura bien voulu y mettre (contrairement à windows XP qui peut si l'utilisateur le désire ajouter régulièrement de nouvelles ip/DNS).

En partant de ca, je ne vois pas en quoi un client linux est moins protégé qu'un client windows.

A mon sens, seuls les serveurs DNS ont éventuellement besoin d'être mis a jour sous linux (je ne connais pas le détail de la faille en question). Mais quelque chose m'échappe probablement

edit : ajout de XP à windows et du (je ne connais pas le détail de la faille en question)

Dernière modification par sonal (Le 09/07/2008, à 20:36)

ogaby · Le 09/07/2008, à 19:31

lignux a écrit :

Bonjour,
Savez-vous si la mise a jour a déjà été faite sur Ubuntu (Hardy 64 bits). Je n'ai eu aucune mise à jour aujourd'hui...
Mais est-il nécessaire de modifier quelque chose au niveau d'Ubuntu lui-même?
Et qu'en est-il du browser : nécessite-t-il aussi une MAJ?
J'avais cru comprendre que cette faille ne touchait que les serveurs DNS. Qu'est-ce-que le client a comme "responsabilité" dans l'affaire ?
Tout ceci n'est pas très clair...
Merci!

Il y a eu un nouveau paquet à installer concernant BIND. T'as rien dans synaptics?

Bon je suis en 32bits mais je pense que ça vient en même temps.

snigit · Le 09/07/2008, à 19:33

lignux a écrit :

Savez-vous si la mise a jour a déjà été faite sur Ubuntu (Hardy 64 bits). Je n'ai eu aucune mise à jour aujourd'hui...

J'ai fait la mise à jour sur deux Hardy 64 bits ce matin.
Tu as quels dépôts ? Pour les mises à jour de sécurité, il vaut mieux laisser ceux d'ubuntu, c'est plus rapide (enfin, à jour plus tôt).

®om · Le 09/07/2008, à 19:58

®om a écrit :

http://www.silicon.fr/fr/news/2008/07/09/faille_dns___mauro_israel__on_a_frole_le_big_one_
lisez cet article, à croire que seul windows a corrigé la faille

Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte. Si l’on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System. Quand vous savez que ce fichier est facilement modifiable sous Windows XP (pas sous Vista) cela pose des questions cruciales. Ce fichier retrace toutes les adresses IP consultées, quelqu’un qui s’y introduirait aurait alors accès à une multitude de données.
Ce type de problème est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.

OK donc c'est réellement un incompétent.
Car /etc/hosts ça ne sert pas du tout à retracer toutes les IP consultées !

®om · Le 09/07/2008, à 20:17

J'ai envoyé un petit mail à la rédaction du site :

Mon mail a écrit :

Madame, Monsieur,
Je vous écrit suite à l'article publié sur votre site :
http://www.silicon.fr/fr/news/2008/07/09/faille_dns___mauro_israel__on_a_frole_le_big_one_
Je suis assez surpris que vous osiez poster un tel article, manifestement écrit par quelqu'un dont le seul but est de valoriser le système d'exploitation de Microsoft, en donnant de fausses informations.
«Ce type de problème est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.»
Les distributions GNU/Linux ont toujours été sécurisés à ce niveau-là, le fichier /etc/hosts n'étant accessible qu'au compte administrateur. Ce problème n'était présent que sur Windows, sur les versions antérieures à Vista.
«Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux, combien de temps va durer cette faille ?»
Les distributions GNU/Linux, notamment Ubuntu, ont eu le droit à des mises à jour dans la nuit du 8 au 9 juillet. La personne qui a écrit cet article veut simplement faire de la publicité en faisant croire que les utilisateurs sont mieux protégés avec Windows Update.
«Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte. Si l’on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System. Quand vous savez que ce fichier est facilement modifiable sous Windows XP (pas sous Vista) cela pose des questions cruciales. Ce fichier retrace toutes les adresses IP consultées, quelqu'un qui s'y introduirait aurait alors accès à une multitude de données.»
Ce passage prouve bien l'incompétence de la personne interviewée, ce fichier ne retrace pas du tout les adresses IP consultées.
Il fait simplement un mapping permettant de donner un nom local à des ip.
Ce fichier et notamment sa non-sécurité sous Windows XP a permis à plusieurs virus de tromper les utilisateurs, alors non protégés contre le phishing, mais cela n'a rien à voir avec la faille DNS découverte par le grand public aujourd'hui.

J'avais pour habitude d'attribuer un certain sérieux à votre site, à partir duquel je lis les flux RSS, mais je dois dire que sur ce coup je suis assez surpris.
J'espère que cela s'améliorera.
nom prénom
fonction

oliver82 · Le 09/07/2008, à 21:27

@ ®om : quand tu naviguera sur le site de Maurice aka "Mauro" Israel tu comprendras vite pourquoi un tel article : http://www.netwizz.com/

À mon avis, c'est le genre de personne qui se donne des titres pompeux... mais derrière ça sonne creux...

Chapal · Le 09/07/2008, à 21:44

oh la vache le site moche !!
on dirait une page perso infonie

Xenom · Le 09/07/2008, à 21:54

et le blog c'est pas mieux..

Le Netwizz ..... a écrit :

Dans la peau d'un hacker... Des hackeurs utilisent[...] "souvent des moyens plus sophistiqués, comme la programmation en « C » de virus" [...]. Outils de defenses:[...] Une fois le logiciel installé il va « sniffer » tous les paquets du réseau, et repérer et casser tous les mots de passe !!!

Par contre je comprends pas trop pourquoi les clients ont aussi besoin d'etre autant protegés?

Chapal · Le 09/07/2008, à 22:15

sont site existe depuis 94
je pense que c'est toujours la version 1

reeth · Le 09/07/2008, à 23:16

Je vous conseille son cv en français, il y a du lourd :D:lol::lol:

Et il parle de lui à la 3° personne ^^

Oyster · Le 09/07/2008, à 23:28

Le paradoxe, entre l'interview, et son CV est énorme!

rhinopierroce · Le 09/07/2008, à 23:36

attendez la suite...
Dan Kaminsky, qui est à l'origine de la publication de la faille, devrait publier tous les détails de l'attaque et de la vulnérabilité lors de la conférence Black Hat le 7 Aout à Las vegas. il y a donc peut-être des éléments importants qui n'ont pas encore été révélés. J'y serai et je recolterai toute information utile pour la communauté Française. Par ailleurs, les utilisateurs ne devraient pas etre "root" sous Unix, mais le fait est, qu'ils le sont souvent et donc le fichier hosts est tout à fait modifiable y compris chez les fameux "pros" qui hébergent des milliers de sites - je l'ai vu de mes yeux lors d'audits ou de tests d'intrusion. Le reste de la phrase sur le fonctionnement des fichiers hosts et du DNS est du à une incompréhension de mes propos lors de l'échange téléphonique.
Posté par : Mauro Israel, 9 juillet 2008

http://www.silicon.fr/fr/news/2008/07/09/faille_dns___mauro_israel__on_a_frole_le_big_one_

slasher_fun · Le 09/07/2008, à 23:36

C'est quand même un cas lui... C'est genre "j'ai appris l'informatique dans les années 80/90 et depuis j'ai plus rien appris mais je vous explique la vie "

slasher_fun · Le 09/07/2008, à 23:46

Ah tiens, réponse de l'"expert"... Raccrochage aux branches inside...

réponses aux commentaires tendancieux
Cet article est le résultat rapide d'une conversation téléphonique avec un journaliste qui essaye de couvrir un évenement de sécurité sans pour autant avoir le niveau - et c'est normal - pour comprendre les tenants et aboutissants techniques du protocole DNS. Ceci étant dit, tous les commentateurs sous l'article sont sourcés de Linuxiens convaincus et informaticiens de leur état. Je n'ai aucun intérêt chez Microsoft, ni aucun d'aucune sorte chez qui que ce soit. Je m'en fiche complètement. Ubuntu est fantastique. Vista est fantastique. Que le meilleur gagne. Mais qu'en est-il des patches de Madame Michu ? Est-ce que l'internaute de base sait qu'il peut arriver sur un faux site bancaire sans meme s'en rendre compte ? Notre role -la communauté des informaticiens- est de sensibiliser les gens sur la sécurité informatique et c'est très complexe que de couvrir un sujet pointu en des mots simples. Donc je vous invite à concevoir puis publier un article sur "comment patcher Linux pour les nuls" et ensuite je posterai à mon tour des commentaires

rhinopierroce · Le 09/07/2008, à 23:55

Enfin, j'ai compris pourquoi mon père sous XP ne pouvait plus accéder à ses banques en ligne pendant 24h
Alors que moi no problemo

M'enfin, c'est pas équitable, il lui faut 5 min pour redémarrer au PC de mon père

Oyster · Le 10/07/2008, à 00:15

Mais qu'en est-il des patches de Madame Michu ?

Madame Michu, a les mises à jour sur sa distro linux!
Par contre avant...quand elle utilisait son xp cracké, les mises à jour étaient désactivées...

Dernière modification par Oyster (Le 10/07/2008, à 00:18)

CHUCKYCHUCK · Le 10/07/2008, à 00:36

est-ce que quelqu'un a des détails sur la faille en question ?
( apparemment tout sera connu le 7 aout , mais ya ptet déjà des hypothèses ou des choses déjà établies )

la conception même du protocole dns

ca fait froid dans le dos, il y aurait donc une faille présente depuis des années ?

sinon le dispositif mis en place est impressionnant, ca aurait littéralement été cataclysmique si des personnes mal-intentionnés avaient pu exploiter la faille
( du phishing massif .. )

Dernière modification par CHUCKYCHUCK (Le 10/07/2008, à 00:36)

mistyrouge · Le 10/07/2008, à 00:46

c'est vrai qu'il est quand même très fort celui la!!

Le seul problème c'est que pour nous c'est évident qu'il dit de la merde mais l'utilisateur lambda sera paniqué et refusera en bloc linux à cause d'un article comme celui la et sera donc plus vulnérable à cette faille de sécurité que notre aimable "expert" à la bonté de nous faire part.

netwizz · Le 10/07/2008, à 02:14

Bonsoir à tous,

Est-ce que vous croyez sérieusement que j'ai pu écrire une énormité pareille à propos du fichier hosts ?! Voila ce qui s'est passé: Un journaliste de silicon.fr m'appelle cet après-midi pour commenter la faille DNS cache poisoning publiée (une fois les correctifs de BIND8, BIND9, Yahoo, CISCO et MS entre autres postés) par Dan Kaminsky. Il se trouve que je l'avais vu à la BH l'année dernière et qu'on avait parlé du potentiel d'un pharming complet d'Internet pouvant conduire à un "Big One" c'est à dire par exemple au vidage de millions de comptes en banque en détournant d'un coup tous les relations entre IP et vrai site de la banque vers un faux site. Donc, ce journaliste cherche à comprendre au téléphone le mécanisme de fonctionnement du préalable de etc/hosts par rapport à DNS et comment on peut modifier un cache en profitant de la faiblesse du séquencement des ports -pas si aléatoires que ça- dans le protocole DNS... En dehors du fait qu'il a posté l'article sans même me le faire relire sinon j'aurais corrigé immédiatement toutes ces bêtises, il a en plus interprété le fait que je prenais cette faille très au sérieux parce qu'elle touche aussi bien windows (mais c'est la routine) que tous les Unix et que là il me paraissait plus compliqué de faire un système automatique, voire infaisable. Par exemple, bien que DNSSEC soit posté, l'ISC recommande de patcher BIND8 et BIND9 pour éviter des dénis de service. Un premier déni de service à d'ailleurs été posté ce soir entre zonealarm et XP... Donc je serai à la Black Hat le 7 aout à la conf de Kaminsky, et je vais creuser ce sujet et remonter l'info en français notamment sur Global Security Mag;

En résumé j'utilise ce qui fonctionne le mieux pour mes besoins (dual boot Ubuntu-XP sur une machine et Vista sur l'autre, car Vista n'accepte pas les "colocs") et Firefox à la place d'IE avec IEtabs. Je ne suis pour rien dans cette interprétation erronée d'un OS meilleur ou moins bon. Ce n'est pas une "croisade". Regardez Firefox 3 qui rentre dans le livre des records pour être le logiciel le plus téléchargé de l'histoire en 24h... Pourquoi ? Parce qu'il fonctionne bien et que ses patches sont automatisés et simples.

En revanche la suite des posts m'a franchement déçu: "touche pas mon Linux" et donc on s'attaque planqué derrière un pseudo à une personne sans même la connaitre ?! Bien que certains ne manquent pas d'humour, c'est quand même honteux et je ne répondrai même pas. Sauf sur le dernier post: c'est vrai qu'il y a deux types d'utilisateurs: les "lambda" et la communauté des Linuxiens qui s'exprime ici. Pour les "lambda" quand un article est repris dans la presse, voire à la radio ou la télé, la perception peut-être catastrophique pour le devenir d'un système comme Ubuntu. Et tout ce qui peut être mal interprété le sera. Donc j'ai envoyé un correctif de l'article, qui rectifie toutes les erreurs techniques et en plus qui ne fait plus cette comparaison sans objet entre Ubuntu et Windows. Pour mon action je préfère avoir fait basculer une grande entreprise sous Ubuntu plutot que de perdre mon temps à prouver quelque chose qui est improuvable... Rendons Ubuntu meilleur que windows et vous verrez qu'il n'y a aura pas besoin de le défendre, les gens l'adopteront comme pour Firefox.

Mais vous pourriez faire quelque chose de bien, ceux qui ont mis ces posts: remettre un autre post à la suite en vous excusant de votre dénigrement à une personne ce qui n'est pas loyal, et pour revenir au vrai sujet: est-ce que le client Ubuntu tel qu'il est distribué et patché empêche la modification du fichier hosts par un malware, et est-ce que mon FAI ou le réseau de l'entreprise dans laquelle je travaille (ou l'université) ont un DNS faible ou pas et de reporter la vuln. C'est tout.

Mauro Israel

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 09/07/2008, à 13:56

Faille critique (corrigée) dans le protocole DNS

#2 Le 09/07/2008, à 16:59

Re : Faille critique (corrigée) dans le protocole DNS

#3 Le 09/07/2008, à 17:00

Re : Faille critique (corrigée) dans le protocole DNS

#4 Le 09/07/2008, à 18:13

Re : Faille critique (corrigée) dans le protocole DNS

#5 Le 09/07/2008, à 18:33

Re : Faille critique (corrigée) dans le protocole DNS

#6 Le 09/07/2008, à 19:14

Re : Faille critique (corrigée) dans le protocole DNS

#7 Le 09/07/2008, à 19:25

Re : Faille critique (corrigée) dans le protocole DNS

#8 Le 09/07/2008, à 19:31

Re : Faille critique (corrigée) dans le protocole DNS

#9 Le 09/07/2008, à 19:33

Re : Faille critique (corrigée) dans le protocole DNS

#10 Le 09/07/2008, à 19:58

Re : Faille critique (corrigée) dans le protocole DNS

#11 Le 09/07/2008, à 20:17

Re : Faille critique (corrigée) dans le protocole DNS

#12 Le 09/07/2008, à 21:27

Re : Faille critique (corrigée) dans le protocole DNS

#13 Le 09/07/2008, à 21:44

Re : Faille critique (corrigée) dans le protocole DNS

#14 Le 09/07/2008, à 21:54

Re : Faille critique (corrigée) dans le protocole DNS

#15 Le 09/07/2008, à 22:15

Re : Faille critique (corrigée) dans le protocole DNS

#16 Le 09/07/2008, à 23:16

Re : Faille critique (corrigée) dans le protocole DNS

#17 Le 09/07/2008, à 23:28

Re : Faille critique (corrigée) dans le protocole DNS

#18 Le 09/07/2008, à 23:36

Re : Faille critique (corrigée) dans le protocole DNS

#19 Le 09/07/2008, à 23:36

Re : Faille critique (corrigée) dans le protocole DNS

#20 Le 09/07/2008, à 23:46

Re : Faille critique (corrigée) dans le protocole DNS

#21 Le 09/07/2008, à 23:55

Re : Faille critique (corrigée) dans le protocole DNS

#22 Le 10/07/2008, à 00:15

Re : Faille critique (corrigée) dans le protocole DNS

#23 Le 10/07/2008, à 00:36

Re : Faille critique (corrigée) dans le protocole DNS

#24 Le 10/07/2008, à 00:46

Re : Faille critique (corrigée) dans le protocole DNS

#25 Le 10/07/2008, à 02:14

Re : Faille critique (corrigée) dans le protocole DNS

Pied de page des forums