Hier zien we wederom de passieve houding van Microsoft (en
eventueel andere partijen). DNS poisoning is al enige tijd
aanwezig (minstens een jaar) en dus een serieuze dreiging
ten op zichte van het werken van het internet of een deel ervan.

Iemand die DNS dus toepast in welke vorm dan ook als een
actief onderdeel van zijn / haar systeem en / of netwerk,
moet dus meteen door hebben dat zo'n exploit ook wel eens
van toepassing zou kunnen zijn op zijn / haar implementatie
van die techniek en / of protocol.

Aangezien DNS dus een belangrijk onderdeel is en door veel
systemen wordt geimplementeerd is het dus zaak direct daarop
te reageren en je eigen systemen na te kijken.

Microsoft is dus wederom een jaar te laat met het afwachten
van te nemen stappen. BIND was vorig jaar al op de hoogte
van dit exploit en heeft dan ook vrij snel een nieuwe versie
uitgebracht.

Hier loopt de oplettende Linux administrator dus voor op de
suffe houding van Microsoft.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -

Dit probleem was al veel langer bij MS bekend. Maar net
zoals altijd komen ze met een "oplossing" wanneer het
uitgebreid in het publiek bekend wordt gemaakt. MS neem
bugs eens serieus (ook van kleine klanten) ook wanneer ze
NIET uitgebreid in het nieuws komen.

een jaar? zeg maar 7 a 8 jaar:

http://www.cert.org/advisories/CA-1997-22.html

Al ~ 8 jaar.

Ho ho!!! W8 ff! Dat kan niet... Daar moet een coder voor
komen en die kost geld en dat hebben ze niet! (PROEST)

De voorgaande reageerders (lees: MS bashers) hebben het hart op de
tong, maar het verstand is even zoek.

Windows 2000 SP3 en hoger hebben het probleem in default instellingen
niet. SP3 is al jaren geleden verschenen (2002).

In Windows 2003 moet je de beveiliging specifiek uit hebben gezet, want
default is de DNS beveiligd.

Windows NT 4 wordt niet meer ondersteund, iedereen die dat nu nog als
DNS server gebruikt is niet goed (security-)wijs. Evengoed is deze wel nog
te beveiligen.

Dus waar gaat het over? Over mensen die security specifiek uit hebben
gezet of niet de laatste service pack gebruiken of zij die met antieke
spullen bljven werken.

Geheel niet gemeld wordt dat BIND 4 en BIND 8 in forwarder mode even
goed kwetsbaar is, als deze vervalste data krijgt van een andere name
server.

Jeroen

De laatste tijd is het chello netwerk niet vooruit te branden
Als ik een website wil bekijken krijg ik altijd de volgende
boodschap in mijn status balk : "looking up hostname"
na 1 a 2 minuten kan ik dan met heel veel geduld de website
binnen zien komen 1 a 2 kB per seconde terwijl 50kB/s een
normaal gemiddelde is. de boodschap is dan "sending request to
xxx.xxx.xxx.xxx". Normaal staat hier bijna nooit een ipadres, maar
de naam van de website.

Zijn de chello servers misschien ook aangevallen met DNS cache
poisoning ?
Even was het weg maar nu is het weer terug en volgens de
helpdesk is er een probleem bij hun servers (ze wilden alleen niet
zeggen welke servers en wat voor programma's deze draaien).

Bij mij werkt alles naar behoren, ik heb het met en zonder firewall
getest en krijg hetzelfde resultaat.
Ik weet dat ik niet zoveel informatie heb verstrekt heb maar heeft
iemand nog een idee voor upc ?

aan de andere kant suggereert de kop van het artikel dat
microsoft een manier heeft gevonden om het algemene probleem
van cache poisoning op te lossen, terwijl ze alleen maar wat
van de symptonen van hun sommige van hun eigen systemen
hebben weggehaald. Dat zet wel aan tot bashen.

Ik betwijfel het, maar ik bewonder je moed om het hier op dit onderwerp
voor MS op te nemen. Bravo!! (serieus, echte discussie is beter dan met de
wolven meehuilen).


Dus MS heeft 5 jaar na het probleem bekend werd al iets gedaan dat
de ergste effecten verhielp? Dat is knap! (nee, niet opgelost, alleen de
meest makkelijk hack verholpen).


Je geeft hier in een enkele zin aan wat het hele probleem is. Mensen die
geen flauw benul hebben wat het probleem is, laat staan hoe het opgelost
kan worden, krijgen te horen dat ze 'beveiliging' aan moeten zetten.

Probleem is echter dat zelfs als de 'DNS cache pollution protection' aanstaat,
dat het dan nog steeds mogelijk is om DNS-poisoning te doen. Men moet
er alleen wat meer moeite voor doen, en het source adress spoofen.

Deze blijft mogelijk : http://www.rnp.br/cais/alertas/2002/cais-ALR
-19112002a.html



Uhm.. in wat voor wereld leef jij? Ik werk vaak genoeg bij organisaties die
ervan uitgaan dat hun 10 jaar oude systemen met een paar minimale
updates nog wel 5 jaar mee gaan (of langer..), en die systemen hebben
uptimes die vaak in de jaren loopt.

Ik kan je uitspraak ook alleen begrijpen als ik uitga van een systeem dat
niet 100% te controleren is, ondoorzichtig is, en niet serieus ondersteund
wordt door de leverancier.

Op een stabiel ingericht platform weet je van elke component en process
wat ie doet, of ie draait, hoe hij draait en waarom hij draait. Dit zorgt voor
een mate van controle die het mogelijk maakt om een platform voor langere
tijd te gebruiken.

Dat windows dit kennelijk niet kan leveren, is toch wel een duidelijke
indicatie dat windows nog niet echt klaar is voor het echte serverwerk,
en dat het niet verstandig is om cruciale (directory) services te draaien
op winnt/2k/xp.

sowieso begrijp ik niet dat je kennelijk niet in staat bent een onderscheid te
maken tussen het OS-platform (dat gestrip moet kunnen draaien), en de
dns-services bovenop het platform. De DNS-services die ik opgezet heb
werken soms met BIND, Maar meestal koos ik voor een andere dns-server
(zeker als je alleen een authoritive server nodig hebt is tinydns/djbdns vaak
een goede keuze .. een server die nooit kwetsbaar geweest is voor dns-
poisoning .. ).



Dus waar gaat het over? Over mensen die in staat zijn te begrijpen wat ze
waarom gebruiken? Of mensen die klakkeloos overnemen wat ze van
MS horen zonder ook maar een idee te hebben wat de werkelijke issue's
zijn en hoe deze op te lossen?

Als je je vak serieus neemt, dan is het noodzakelijk om ten alle tijden zelfs
een vinger aan de pols te houden, en onafhankelijke bronnen van informatie
te raadplegen. Als je dat doet, dan zul je zien dat je niet verbaasd bent dat
MS een jaar nadat er een SNMP-vunerability is in net-snmp ook een blijkt te
hebben (zonder te zeggen wat het exacte probleem is, overigens) ! En dat
MS ook kwetsbaar blijkt te zijn voor exact dezelfde bugs als BIND, alleen dat
MS er pas 3 jaar later uberhaupt naar kijkt. And the list goes on and on..


Ten eerste: Iedereen die ook maar iets wist van DNS was al jaren op de
hoogte van de mogelijke problemen met dns-spoofing. Het probleem is
niet dat dit nog steeds een bug is in sommige windows dns-servers, maar
dat de hele windows wereld erdoor overvallen is. Kennelijk moeten windows
beheerders in de Telegraaf lezen dat hun systemen gehacked zijn voor ze
actie ondernemen.

Ten 2e : Jouw laatste punt is onzin. Ja, een dns-server in forwarding mode
is kwetsbaar, maar dit is geen bug, maar normaal gedrag. Dit komt doordat
het
in forwarding mode elke query doorstuurd naar een andere server, en de
antwoorden van die server accepteerd. Een server die de antwoorden van
een forwarding-server controleerd gedraagt zich 100% als een
onafhankelijke caching-server, en is dan per definitie geen forwarding
server meer.