Dobavljači vatrozida protresani kako bi riješili DNS problem

Gotovo mjesec dana nakon što je prvi put prijavljen kritični nedostatak u sustavu internetskih imena domena, dobavljači nekih od najčešće korištenih vatrozidnih softvera šifrirali su kako bi riješili problem koji u biti može poništiti dio zakrpa koji rješavaju ovaj problem.

DNS propust utječe na poslužiteljski softver koji su napravili mnogi dobavljači, uključujući Microsoft, Cisco Systems i Konzorcij za internetske sustave.

Neki softver vatrozida poništava značajku randomizacije portova koji je uveden u DNS zakrpe. Iako ta promjena ne u potpunosti negira DNS krpa, to bi moglo olakšati napadačima da uklone napad od trovanja u predmemoriju na DNS poslužitelj, kažu sigurnosni stručnjaci.

[Daljnje čitanje: Najbolje NAS kutije za streaming medija i

To može dovesti do gotovo neprimjetnih napada phishinga protiv korisnika tih DNS poslužitelja.

Vatrozidima koji se koriste za prevođenje IP adresa (IP adresa) - pretvaranje IP adresa koje koriste računala na njihove interne mreže na različite IP adrese koje koriste druga računala na Internetu - ponekad mogu poništiti randomizaciju izvornih luka, kažu sigurnosni stručnjaci.

Doseg problema u početku je uzeo neke DNS stručnjake iznenađenjem, rekao je Dan Kaminsky, IOActive istraživač koji je prvi put otkrio DNS bug. "Ovo je do neke mjere naša krivica", rekao je u intervjuu e-poštom. "Podcijenili smo broj vatrozida vani koji su bili raspoređeni pred poslužiteljima DNS-a."

"Cisco, Juniper, Citrix i brojni drugi dobavljači vatrozida apsolutno su pokušavali ažurirati opremu", dodao je.

Ovi dobavljači kažu da bi moglo biti još nekoliko tjedana prije nego što su svi proizvodi fiksni.

Cisco je u srijedu ažurirao sigurnosni savjetnik o problemu DNS-a kako bi korisnicima pružio smjernice o tome kako riješiti problem, rekao je Russ Smoak, direktor tvrtke Cisco Tim za odgovor na incidentne sigurnosne proizvode. Ovo pitanje utječe na Ciscove korisnike koji koriste vatrozid za prevođenje port adrese (PAT), rekao je on. "Ako imate PAT vatrozid, najbolje je da pogledate naš dokument, shvatite kako je mreža konfigurirana i ako vam je potreban popravak koji je predviđen, instalirajte ispravak."

U međuvremenu, mreža administratori mogu proslijediti svoje DNS traženje na poslužitelje čije ulazne adrese nisu prevedene ili jednostavno preuređuju vatrozid, rekao je Kaminsky.

Juniper Networks očekuje da će narednih tjedana isporučiti opciju slučajnog izvora za svoje proizvode, izjavila je glasnogovornica Juniper Cindy Ta, putem e-pošte.

Međutim, nisu svi proizvođači vatrozida pogođeni. Na primjer, Check Point Software kaže da njegovi vatrozidi nemaju taj problem.

Kaminsky DNS propust utječe na tako široku paletu proizvoda da ne iznenađuje da je došlo do nekih propusta u procesu zakrpavanja. Ranije ovog tjedna, DNS stručnjaci izvijestili su da je zakrpa koju su stvorili usporavanje performansi na nekim poslužiteljima s visokim prometom - one koje su bile pogođene s više od 10.000 upita u sekundi. U petak, nCircle sigurnosnog dobavljača izvijestio je da Appleov popravak zbog DNS problema nije ispravno funkcionirao.

Predsjednik konzorcija za internetske sustave Paul Vixie naziva problem prevođenja luke kao "velik posao", no rekao je da unatoč ranom skepticizmu korisnici počinjući shvaćati ozbiljnost situacije. Kada je Kaminsky prvi put razgovarao o tom problemu, neki sigurnosni stručnjaci rekli su da se problem pojavio kao da je jednostavno riječ o poznatom problemu. Međutim, nakon što je bug prošle tjedna slučajno otkrio, neki su skeptici promijenili njihovu melodiju. i dalje je nered ", rekao je putem e-maila. "Ali barem negdje više nema deniera koji muddiraju vodu s 'prenapuhanom, a ne hitnom' porukom."

(Will Schultz je pridonijela ovoj priči.)