Lue uutinen mobiilisivustolla

Iso ja vaarallinen aukko löytyi maailman nimipalvelutoteutuksista

9.7.2008 08:47 Tietoturvatutkija Dan Kaminsky on löytänyt tehokkaan hyökkäysmenetelmän ip-verkoissa käytettävän DNS-nimipalveluun vaikuttamiseen, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.

Haavoittuvat nimipalvelutoteutukset ovat alttiita tehokkaalle DNS cache poisoning -hyökkäykselle, jossa hyökkääjä pystyy syöttämään vääriä tietoja nimipalvelimen tai nimipalveluasiakasohjelmiston välimuistiin. Hyökkäyksen avulla hyökkääjä voi ohjata haavoittuvassa nimipalvelimessa tai asiakasohjelmistossa tietyn domainnimen osoittamaan haluamaansa Iip-osoitteeseen.

CERT-FI:n mukaan hyökkäysmenetelmää ei ole vielä julkistettu. Julkistus on odotettavissa todennäköisesti kuukauden sisällä. Useat eri ohjelmisto- ja laitevalmistajat ovat julkaisseet tai julkaisemassa päivityksiä nimipalveluohjelmistoihinsa.

CERT-FI kertoo, että haavoittuvat ohjelmistot ovat BIND 8, BIND 9 ennen korjauksia 9.5.0-P1, 9.4.2-P1, 9.3.5-P1, Windows 2000, XP ja Server 2003 -käyttöjärjestelmät ilman korjausta MS08-037, Cisco IOS:n useat versiot ja GNU libc stub resolver. Lisäksi listalla ovat palomuurit, jotka käyttävät ScreenOS -ohjelmistoa, sekä JunOS-ohjelmistolla varustetut reitittimet ja kytkimet, joiden ohjelmiston päiväys on ennen 23.5.2008

Viestintäviraston tietoturvayksikön mukaan todennäköisesti liki kaikki DNS-nimipalvelua tukevat palvelin- ja asiakasohjelmistot vaativat päivityksen.

BIND 8 -nimipalveluohjelmistolle ei ole tulossa päivitystä. BIND 8 -ohjelmistoa käyttäviä kehoitetaan päivittämään pikaisesti korjattuun BIND 9 -ohjelmistoon

Haavoittuvuus vaikuttaa
poikkeuksellisen laajakirjoisesti

CERT-FI mukaan nyt esiin tullut nimipalvelun haavoittuvuus on ehkä eräs monivaikutteisimmista haavoittuvuustapauksista viime vuosien aikana. Toimiva, oikeita vastauksia antava nimipalvelu on eräs tärkeimmistä internet-peruspalveluista. Nimipalvelu (DNS, Domain Name Service) ohjaa muun muassa www-sivujen domainnimien muunnosta ip-osoitteiksi sekä sähköpostin reititystä.

Nimipalvelun virheellinen toiminta voi helposti jäädä huomaamatta. Www-selain ei anna varoitusta, jos salaamaton sivulataus ohjautuukin vihamieliselle palvelimelle.

Nimipalvelun toiminnassa tarvittavia ohjelmisto-osia on käytännössä kaikissa verkon osissa työasemista palvelimiin. Myös reitittimissä, palomuureissa, roskapostisuodattimissa - kaikissa verkkkokomponenteissa joiden täytyy pystyä muuntamaan domainnimi verkko-osoitteeksi - on jonkinlainen DNS-toiminto.

Tämänhetkisten tietojen perusteella lähes kaikki nämä ohjelmistot vaativat CERT-FI:n mukaan lähiviikkojen aikana päivityksen. Etenkin kaikki palveluntarjoajien ja yritysten resolver-nimipalvelimet on ehdottomasti tarkistettava ja tarvittaessa päivitettävä.

Haavoittuvuuteen liittyvien ohjelmistopäivitysten koordinointi on hoidettu ohjelmisto- ja laitevalmistajien keskuudessa esimerkillisen hyvin. Tieto on pysynyt pienessä piirissä ennen sovittua julkaisuhetkeä ja kaikki tärkeimmät ohjelmistot ovat todennäköisesti saaneet tarvittavat päivitykset. Sulautettujen järjestelmien päivitystarve on mielenkiintoinen selvitettävä kysymys. CERT-FI tulee seuraamaan päivitystilannetta tiiviisti.

Haavoittuvuuden hyödyntämismenetelmä tulee todennäköisesti julkisuuteen kuukauden sisällä.

ArkistoMicrosoftilta "tärkeä" korjauspaketti 9.7.2008

Kalevi Nikulainen toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (30)

0

0

Jaa'a, pitkääköhän tuon takia päivittää ADSL-modeemin firmware? Se taitaa tarjota DNS-palvelua kodin sisäverkkoon. Ei olisi hyvä, jos pankin nimi ohjataan väärään osoitteeseen...

Huh

Lainaa Ilmoita asiaton viesti

# 9.7.2008 9:04

6

13

Jaa'a, pitkääköhän tuon takia päivittää ADSL-modeemin firmware?

Ei tarvitse, ongelma ei koske kotonasi olevaa matolaatikkoa.

#huuhaa

Lainaa Ilmoita asiaton viesti

# 9.7.2008 9:22

1

10

Täytyykö mun päivittää palvelimeni hosts-tiedosto?

Salakka

Lainaa Ilmoita asiaton viesti

# 9.7.2008 9:28

9

0

Ei se haavoittuvuus löytynyt toteutuksesta vaan protokollasta itsestään. Sen takia kaikki oikein toteutetut ohjelmat sisältävät haavoittuvuuden ja siksi vaikutus on noin laaja.

eee

Lainaa Ilmoita asiaton viesti

# 9.7.2008 9:28

6

1

Icann hyväksyi torstaina 26.6.2008 äänestyksessään esityksen, joka sallii verkko-osoitteiden päätteeksi periaatteessa lähes minkä tahansa maksimissaan 64-merkkisen kirjainyhdistelmän.

www.pankki.spankkiopifpsemnslk24m"
vai oliko se
www.pankki.spankkiopifpsemnrlk24m"
Näihän se phisting sitten helpottukin automaattisesti


Ja vielä tämäkin DNS - ominaisuus

Ja vielä tämäkin DNS - ominaisuus

Lainaa Ilmoita asiaton viesti

# 9.7.2008 9:59

2

1

Ei se haavoittuvuus löytynyt toteutuksesta vaan protokollasta itsestään. Sen takia kaikki oikein toteutetut ohjelmat sisältävät haavoittuvuuden ja siksi vaikutus on noin laaja.

...jossa hyökkääjä pystyy syöttämään vääriä tietoja nimipalvelimen tai nimipalveluasiakasohjelmiston välimuistiin.

Tuon mukaan kysessä ei olisi protokollassa olevasta virheestä, vaan toteutuksesta - copy paste koodia
joka siten levinnyt noinkin laajalle.

copy paste koodia

Lainaa Ilmoita asiaton viesti

# 9.7.2008 10:03

1

2

Viestintäviraston tietoturvayksikön mukaan todennäköisesti liki kaikki DNS-nimipalvelua tukevat palvelin- ja asiakasohjelmistot vaativat päivityksen.

Tuskin sentään?

Haavoittuvuus ei koske niitä palvelimia jotka ovat pelkästään autoritäärisiä tai joilla rekursiota ei ole sallittu.

Tietääkseni myös kaikki ne nimipalvelimet ovat turvassa (tai ainakin vähemmän haavoittuvia), jotka käyttävät jo ennestään satunnaista source-porttia. BIND taitaa olla ainoita nykyisin käytössä olevia nimipalvelinohjelmistoja, joissa source-portti on vielä oletuksena kiinteä 53.

Nimipalvelija

Lainaa Ilmoita asiaton viesti

# 9.7.2008 11:05

4

1

Koska ongelma on itse protokollassa, se vaivaa kaikkia, sekä nimipalvelun asiakaspäätä (resolver) että palvelinta (server). Eli siis yleistettynä kaikissa Internetissä olevissa laitteissa on nyt ongelma. Myös siis kotireitittimissä/DSL-bokseissa.

Vielä ei ole tiedossa se, onko ongelma sellainen, että hyökkääjä pystyy kohdistamaan nimen väärentämisen tarkasti johonkin asiakkaaseen, vai jonkun tietyn nimipalvelimen käyttäjiin. Tämä kuullaan elokuussa.

Kukin toimittaja tietysti toimittaa patchit omalta nurkaltaan (esim. Microsoft kaikkiin Windowseihin ja niiden resolver-komponentteihin, ISC BIND-nimipalvelimiin).

Lea Viljanen

Lainaa Ilmoita asiaton viesti

# 9.7.2008 11:05

2

12

Joko alatte oppia, ettei monoliittinen BIND ole mikään oikea ratkaisu nimipalvelun toteuttamiseen?

Bindin tietoturvatausta on niin heikko, että ihmettelen miksi kukaan järkevä ihminen toteuttaa sillä nimipalvelun.

tinydns - ei vieläkään reikiä.

Admin

Lainaa Ilmoita asiaton viesti

# 9.7.2008 11:24

16

2

tinydns - ei vieläkään käyttäjiä.

lol

Lainaa Ilmoita asiaton viesti

# 9.7.2008 12:04

Sivut: 1 2 3 Edellinen Seuraava

Kirjoita vastaus

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Poliisi: Ampuja kertoo katuvansa tekojaan

• Ampuja keskeytti opinnot ja varusmiespalveluksen
• Pohjois-Korean Kim kävi huvipuistossa ja herkistyi
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa
• Asiantuntija: Punkkipaniikki on jo ylimitoitettua