Il y a quelques mois, Dan Kaminsky, un expert dans les techniques d'intrusions a découvert une faille majeure dans le système de gestion DNS.
Depuis, plusieurs monstres de l'informatique (Microsoft, Cisco et Sun) ont collaborés pour apporter des correctifs à cette faille.
Je n'ai pas bien cerné le problème (pas pris le temps non plus) mais il semblerais que ce problème aurait pu mettre l'Internet mondial à genou.
plus d'info : http://www.clubic.com/actualite-150722- ... edent.html
la communauté d'entraide francophone dédiée au PHP
Une faille dans la gestion des DNS, criticité mondiale
Connaître son ignorance est la meilleure part de la connaissance
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter
twitter - site perso - Github - Zend Certified Engineer
Bonjour à tous,
Nous souhaitons vous informer qu'une importante vulnérabilité
dans le protocole DNS a été annoncée publiquement hier,
après avoir été découverte il y a 6 mois - laps de temps nécessaire pour mettre les "patches" au point.
Un bon résumé se trouve en PDF.
Il faut noter que cette vulnérabilité est dans le protocole, pas dans une mise en oeuvre particulière,
même si des mesures peuvent être prises par certains logiciels pour limiter les risques.
On notera également que l'attaque est probabiliste,
un serveur « vulnérable » peut résister à l'attaque s'il est très chanceux,
un serveur « non vulnérable » peut quand même être attaqué avec succès s'il n'a pas de chance.
Cette vulnérabilité ne concerne que les serveurs DNS récursifs (communément appelés « résolveurs »)
et permet de leur faire accepter des réponses fausses.
Par exemple, de leur faire croire que fr.wikipedia.org est au 192.0.2.66 au lieu de la vraie adresse IP.
Elle permet ainsi de rediriger tout trafic qui n'est pas protégé cryptographiquement
(le trafic SSH ou bien TLS, par exemple HTTPS, est ainsi, a priori, en sécurité,
à condition que les utilisateurs tiennent compte des avertissements envoyés par leur logiciel).
Elle ne concerne donc pas les serveurs de noms de la zone ".fr", serveurs qui font autorité pour la zone.
Les autres serveurs faisant autorité ne sont pas non plus touchés s'ils ont coupé la récursion.
En revanche, *tout gérant de serveur récursif doit mettre à jour d'urgence son logiciel, vers une version non vulnérable*.
Les résolveurs les plus répandus (tels que BIND ou bien le résolveur Microsoft) étaient vulnérables
(des logiciels plus rares tels que PowerDNS ou Unbound mettaient déjà en oeuvre les protections qui limitent le risque).
Les administrateurs DNS sont invités sans attendre à suivre les consignes des alertes de sécurité
pour télécharger et installer les versions non vulnérables des logiciels DNS récursifs qu'ils utilisent.
Les « patches » qui ont été ajoutés à des logiciels tels que BIND reposent tous
sur l'« Internet-Draft » « Measures for making DNS more resilient against forged answers »,
document IETF auquel l'AFNIC a beaucoup participé depuis le début
(voir par exemple une présentation à la réunion IETF de Prague en mars 2007,
longtemps avant que la vulnérabilité soit découverte).
Très cordialement,
Loïc Damilaville
Adjoint au directeur général