|
Альянс разработчиков программного обеспечения и фирм-производителей объявил
вчера, что они выпустили патч для устранения фундаментальной уязвимости в DNS.
Уязвимость в DNS (Domain Name System — система доменных имён интернета) –
распределенной базе данных, которая сопоставляет доменное имя и IP адрес
компьютера – может позволить хакеру заменить адрес вебсайта, утверждает Дан
Камински из фирмы IOActive. Камински нашел эту уязвимость когда проводил
исследования DNS протокола более шести месяцев назад. Система доменных имен
интернета DNS была очень популярна для атак в прошлом и является небезопасной по
своему дизайну, позволяя легко просматривать трафик и осуществлять фишинг атаки.
"Это фундаментальная ошибка в дизайне", - сказал Камински. "Так как все
системы работают точно как предписано протоколом, ей подвержено оборудование
всех фирм. Не только Microsoft, не только Cisco, а всех."
Во вторник, 8 июля, альянс фирм выпустил патч для их продуктов. Microsoft
выпустил обновления для Windows 2000, Windows XP and Windows Server 2003,
которые были оценены как важные. Internet Software Consortium, группа
ответственная для разработку популярного Berkeley Internet Name Domain (BIND)
сервера тоже выпустила заплатку, подтвердив что их программа содержит эту
уязвимость. Также Cisco and Juniper признали свои продукты уязвимыми.
Альянс предоставил патч для определенных крупных клиентов, таких как Yahoo,
серверы которого будут переведены на последнюю версию BIND 9. Провайдер Comcast
уже закрыл уязвимость на их серверах. Центр координации Computer Emergency
Response Team (CERT) контактировал с другими группами чтобы информировать их о
проблеме.
Большинство провайдеров уже получили заплатку во вторник, заявил Сэнди
Вилборн, вице президент Nominum. Целью является чтобы каждый провайдер и каждая
фирма применила патч в течении 30 дней.
Хотя Камински и другие эксперты во время обсуждения проблемы во вторник не
объяснили деталей уязвимости, Microsoft в своем бюллетене безопасности
обозначает ее как комбинацию
уязвимости энтропии DNS
сокета и отравление кеша DNS. Хотя во многих случаях возможно определить
уязвимость анализируя патч, в этом случае заплатка не дает такой возможности для
хакеров.
Координированный ответ на эту уязвимость потребовал работы в течении шести
месяцев, чтобы выпустить все патчи в одно и тоже время, заявил Камински. Он
также обратился к независимым исследователям не опубликовывать детали уязвимости
если они их обнаружит сами. Тех, кто считает что обнаружил проблему, Каминский
просит сообщить ему об этом и он купить всем пиво.
|
, 
