DNS Security Advisory pour Fli4l - Update III

Impact actuel sur le DNS Security Advisories pour Fli4l et mise à jour du serveur DNS (mis à jour le 22/07/2008)

Plusieurs médias ont rapporté ces derniers jours des problèmes potentiels sur la sécurité des services de noms, par ex. Heise.

Fli4l est également constitué d'un serveur de nom, les résolutions de nom sont mise en œuvre et leurs résultats mise en cache. Fli4l utilise pour cela dnsmasq. L'auteur a immédiatement réagi sur la Security Advisory et a proposé une contre-mesure avec la création de la version 2.43 pour dnsmasq.  Vous pouvez avoir des discussions précis sur ce sujet en Anglais dans le Mailing liste, (un articles sur de la version 2.43 actuel Impact of CVE-2008-1447 forgery resilience et  une traduction en Allemand de la première réaction de l'auteur).

L'auteur de Dan Kaminsky, et l'auteur de Security Advisories on conversé et a confirmé l'attaque, il a trouvée la vulnérabilité de dnsmasq. Une mise à jour est donc nécessaire.

Entre-temps il a été trouvé une parade, de l'attaque en cours. Un article sur le Heise Newsticker décrit précisément l'attaque. L'hypothèse à la conférence du 6.8.2008 de Black Hat, est fausse.

Les modifications nécessaires au dnsmasq étaient assez volumineux, le temps pour les tests étais trop cours et pas soignée. Ainsi, un Bug se glissa dans la partie dhcp, lors des tests du dnsmasq, en plus il a été traîné jusqu'au bout de dnsmasq. Un autre problème se produit, uniquement dans une situation très spéciale, qui s'exécuté relativement rarement, Dans certain cas seulement après 8 jours de test, pour d'autre elle ne se déclenché pas du tout. Le dernier problème a été détecté par un utilisateur Fli4l lors d'un des tests publiés ici par le candidat.

Les problèmes ont été au fur et à mesure corrigé par l'auteur de dnsmasq et dnsmasq est arrivé, avec la version 2.45. Afin d'assurer la stabilité de Fli4l avec dnsmasq , de plus large test son nécessaire. La version disponible aujourd'hui est assez stable et en cas de message d'erreur dans le syslog le système redémarre automatiquement. Le risque, d'avoir un routeur qui ne fonctionne pas, est désormais négligeable. L'équipe Fli4l demande donc de tester la dernière version pour tous ceux qui sont en mesure de le faire.

Ce qui veulent tester l'ensemble de la version modifier, un script de démarrage est fourni dans dnsmasq-update Version 2.45. Le script de démarrage lance automatiquement le nouveau dnsmasq, à la fin de l'installation, il génère une entrée dans syslog. Des réaction dans le Newsgroup sont les bienvenus.