Internet Systems Consortium, Inc. (ISC) opracował poprawkę do poważnego błędu wykrytego w BIND-zie – popularnym serwerze DNS. Bug powodował, że atakujący mógł w relatywnie łatwy sposób manipulować pamięcią podręczną serwera (cache poisoning).
Lukę można wykorzystać do podmiany rekordów DNS czego efektem jest, że niczego nie świadomy użytkownik zostanie przekierowany na podmienioną stronę www (pharming). W tym konkretnym przypadku cache poisoning możliwy jest poprzez błąd w implementacji losowego generatora identyfikatorów transakcji DNS. Amit Klein dowiódł, że PRNG (pseudo random number generator) zaimplementowany w BIND9 nie jest do końca losowy. W sprzyjających warunkach prawdopodobieństwo trafienia właściwego ID wynosi około 10 procent jak podaje Klein.
Wszystkie wersje “dziewiątki” są podatne. ISC zaleca aby zaktualizować swoje implementacje BIND’a do wersji: BIND 9.2.8-P1, BIND 9.3.4-P1, BIND 9.4.1-P1 lub BIND 9.5.0a6. Dodatkowo ISC informuje, że w tych wydaniach istnieje błąd w access listach ale jedynie przy standardowej instalacji – bug pozwala na wysyłanie rekursywnych zapytań do serwera DNS.
Serwer DNS to bardzo newralgiczna struktura i podczas konfiguracji należy zwrócić szczególną uwagę na bezpieczeństwo ponieważ serwer może zostać skompromitowany, co pociągnie za sobą brzemienne skutki…