Una de las vulnerabilidades más graves de Internet de los últimos tiempos ha sido la que ha afectado a todos los servidores DNS. El problema consistía en que conociendo alguna consulta del servidor DNS se podían enviar respuestas falsificadas ya que tanto el número de puerto como el id de las siguientes consultas se hacían predecibles. Una vez que alguna de esas respuestas falsificadas entraba en el servidor se corrompía su cache con registros introducidos por el atacante.
La actualización consiste simplemente en realizar yum update bind. En el enlace recomiendan además activar dnssec. Ningún problema con Centos 5 y 4; aunque en este último caso la opción dnssec-enable on no es aplicable (bind 9.2).
Un detalle muy curioso es que si nuestro DNS está detrás de un NAT el parche no resuelve mucho debido a que las implementaciones habituales de NAT (por ejemplo, iptables) no sólo traducen las ips sino que también los puertos (alguno de los libres en la ip pública). Esto hace que vuelva a ser predecible. Habrá que pensar que los servidores de DNS también se merecen su ip pública.
Se pueden testear los servidores DNS en las siguientes direcciones:
- http://www.doxpara.com/ (blog del hacker que ha descubierto la vulnerabilidad).
- https://www.dns-oarc.net/oarc/services/porttest
No hay comentarios:
Publicar un comentario