Router Cisco e BIND a rischio DoS

Le reti in cui sono presenti alcuni modelli di router o alcune versioni del noto software di DNS potrebbero essere attaccate e isolate dai cracker. Il CERT raccomanda: update subito

Roma - Diverse reti aziendali e alcuni dei sistemi su cui poggia Internet sono vulnerabili a dei problemi di sicurezza scoperti in certi router Cisco e nel software BIND.

Lo US-CERT ha avvisato della presenza, in alcuni prodotti del colosso dei router Cisco, di vulnerabilitÓ denial-of-service (DoS) utilizzabili dai cracker per mettere in ginocchio intere sottoreti.

L'allerta dell'organizzazione americana arriva in seguito alla pubblicazione, da parte di Cisco, di tre advisory di sicurezza relativi a certi suoi prodotti su cui girano alcune versioni del sistema operativo IOS insieme ad uno dei seguenti protocolli: Multi Protocol Label Switching (MPLS), Internet Protocol Version 6 (IPv6) e Border Gateway Protocol (BGP).
"Sebbene le cause alla base delle tre vulnerabilitÓ siano differenti, in ciascun caso un aggressore remoto pu˛ riuscire a riavviare il sistema operativo del dispositivo vulnerabile", ha spiegato l'US-CERT. "Dal momento che i dispositivi su cui gira IOS possono gestire il traffico di un certo numero di altre reti, le conseguenze secondarie di un DoS potrebbero essere gravi".

Per conoscere i dettagli delle falle e il modo in cui aggiornare IOS Ŕ possibile consultare gli ultimi bollettini di sicurezza pubblicati qui da Cisco.

Negli scorsi giorni sono state corrette alcune debolezze anche in BIND, famosa implementazione open source del Domain Name System (DNS) sviluppata dall'Internet Systems Consortium (ISC). Le vulnerabilitÓ, che anche in questo caso sono di tipo DoS, possono essere sfruttate da un malintenzionato per mandare in crash il servizio DNS. I bug sono stati corretti dall'ISC con il rilascio delle nuove versioni 8.4.6 e 9.3.1 di BIND.
TAG: sicurezza
17 Commenti alla Notizia Router Cisco e BIND a rischio DoS
Ordina
  • parecchio cari, ma i migliori, al top ...........
    l'avevo letto da queste parti un po di tempo fa.
    non+autenticato

  • - Scritto da: Anonimo
    > parecchio cari, ma i migliori, al top
    > ...........
    > l'avevo letto da queste parti un po di tempo
    > fa.

    ne hai mai configurato uno?
    No?
    allora torna a trastullarti con il tuo bel zyxel
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > parecchio cari, ma i migliori, al top
    > > ...........
    > > l'avevo letto da queste parti un po di
    > tempo
    > > fa.
    >
    > ne hai mai configurato uno?
    > No?
    > allora torna a trastullarti con il tuo bel
    > zyxel

    Averne configurato uno ti dà il diritto di sfottere gli altri ?!Perplesso
    I router Cisco sono gli UNICI router professionali, qualsiasi rete, dorsale, è realizzata con apparati Cisco.
    Un attacco DoS ad un 7200 ad esempio potrebbe bloccare i servizi a mezza Italia...

    SithDrew
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > > parecchio cari, ma i migliori, al
    > top
    > > > ...........
    > > > l'avevo letto da queste parti un
    > po di
    > > tempo
    > > > fa.
    > >
    > > ne hai mai configurato uno?
    > > No?
    > > allora torna a trastullarti con il tuo
    > bel
    > > zyxel
    >
    > Averne configurato uno ti dà il
    > diritto di sfottere gli altri ?!Perplesso
    > I router Cisco sono gli UNICI router
    > professionali, qualsiasi rete, dorsale,
    > è realizzata con apparati Cisco.
    > Un attacco DoS ad un 7200 ad esempio
    > potrebbe bloccare i servizi a mezza
    > Italia...

    non fraintendermi eh, il tipo di prima parlava evidentemente senza conoscere minimamente un router cisco, e gli ho solo risposto per le rime.
    Per il resto non posso che essere d'accordo con quanto scrivi.

    Saluti
    non+autenticato
  • > > > ne hai mai configurato uno?
    > > > No?
    > > > allora torna a trastullarti con il
    > tuo
    > > bel
    > > > zyxel
    > >
    > > Averne configurato uno ti dà il
    > > diritto di sfottere gli altri ?!Perplesso
    > > I router Cisco sono gli UNICI router
    > > professionali, qualsiasi rete, dorsale,
    > > è realizzata con apparati Cisco.
    > > Un attacco DoS ad un 7200 ad esempio
    > > potrebbe bloccare i servizi a mezza
    > > Italia...
    >
    > non fraintendermi eh, il tipo di prima
    > parlava evidentemente senza conoscere
    > minimamente un router cisco, e gli ho solo
    > risposto per le rime.
    > Per il resto non posso che essere d'accordo
    > con quanto scrivi.
    >
    > Saluti

    Grazie per la delucidazioneSorride
    Saluti,
    SithDrew.
    non+autenticato
  • - Scritto da: Anonimo
    > parecchio cari, ma i migliori, al top
    > ...........
    > l'avevo letto da queste parti un po di tempo
    > fa.

    mah, da quello che, mio malgrado, leggo su questo forum sembra essere frequentato da gente che si ritiene perfetta.
    No, perchè i bug nei software sono una cosa NORMALE.
    Mettetevelo in testa.

    Cisco è leader. E un motivo c'è.

    Altro discorso merita ISC BIND.
    E' un demone notoriamente insicuro, sopravvalutato e soprattutto utilizzatissimo senza un reale motivo.
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > parecchio cari, ma i migliori, al top
    > > ...........
    > > l'avevo letto da queste parti un po di
    > tempo
    > > fa.
    >
    > mah, da quello che, mio malgrado, leggo su
    > questo forum sembra essere frequentato da
    > gente che si ritiene perfetta.
    > No, perchè i bug nei software sono
    > una cosa NORMALE.
    > Mettetevelo in testa.
    >
    > Cisco è leader. E un motivo
    > c'è.
    >
    > Altro discorso merita ISC BIND.
    > E' un demone notoriamente insicuro,

    era, non e'!
    Le ultime versioni non sono affatto insicure

    > sopravvalutato e soprattutto utilizzatissimo
    > senza un reale motivo.

    senza un reale motivo??
    bind e' il dns per eccellenza.

    Informati va'
    non+autenticato
  • conosci qmail?
    sai che è il server mail più sicuro ed è anche molto utilizzato?
    sai chi lo fa? djb.
    sapevi che djb ha scritto anche djbdns?
    lo sai che non è bene mischiare cache e server di un dns?
    mi sa di no eh, informati tu prima di parlare a sproposito.
    In più, trovami una persona che ti offre 500 dollari se trovi un bug exploitabile nel suo codice.

    http://cr.yp.to/djbdns.html

    bind è roba da glue records addicts.
    ciao.
    non+autenticato

  • - Scritto da: Anonimo
    > conosci qmail?
    > sai che è il server mail più
    > sicuro ed è anche molto utilizzato?
    > sai chi lo fa? djb.
    > sapevi che djb ha scritto anche djbdns?
    > lo sai che non è bene mischiare cache
    > e server di un dns?
    > mi sa di no eh, informati tu prima di
    > parlare a sproposito.
    > In più, trovami una persona che ti
    > offre 500 dollari se trovi un bug
    > exploitabile nel suo codice.
    >
    > cr.yp.to/djbdns.html

    conosco tutti i software di bernstain.
    E visto che dici di conoscere djbdns anche tu, dovresti aver notato che non ha tutte le features di bind.
    Dnssec ti dice nulla?
    Come qmail non ha nemmeno il 10% delle features di sendmail (e' solo un esempio! anch'io preferisco qmail).

    Quindi, cosa parli a fare??

    > bind è roba da glue records addicts.
    > ciao.

    bind e' roba per dns seri.
    Trovami un altro software dns alla sua altezza se ne sei capace.
    non+autenticato
  • DNSSEC non è stato ancora implementato da bernstein.
    La sua posizione a riguardo è chiara.
    Cito:
    "..
    However, as of November 2002, Network Solutions simply isn't doing this. There is no Network Solutions key. There are no Network Solutions *.com signatures. There is no secure channel---in fact, no mechanism at all---for Network Solutions to collect *.com keys in the first place.
    ...
    I'm not going to bother implementing DNSSEC until I see (1) a stable, sensible DNSSEC protocol and (2) a detailed, concrete, credible plan for central DNSSEC deployment."

    "A short history of DNSSEC"
    "The expectation is that the drafts are to be finished this year and that even the RFC could be published before 2005. Currently BIND9.4 and NSD2 are capable of handling 2535bis DNSSEC. sh(Oct 2004) The three new drafts are on there way to the RFC editor. This means the new standard is almost official."

    BIND implementa DNSSEC da molto tempo e se ne vanta pure. Ma è qualcosa di sperimentale ed in continuo cambiamento.
    Ha senso tutto ciò?
    non+autenticato

  • - Scritto da: Anonimo
    > DNSSEC non è stato ancora
    > implementato da bernstein.
    > La sua posizione a riguardo è chiara.
    > Cito:
    [...]
    >
    > BIND implementa DNSSEC da molto tempo e se
    > ne vanta pure. Ma è qualcosa di
    > sperimentale ed in continuo cambiamento.
    > Ha senso tutto ciò?

    dnssec e' un esempio, il primo che mi e' venuto in mente.
    Era per rendere chiaro che ogni features disponibile per il protocollo dns esiste ed e' implementata in bind, al contrario di djbdns.
    Questo mi sembra palese, ed altrettanto palese mi pare che possa essere definito bind come il dns piu' completo.

    Poi, prendere come oro colato quello che dice djb, conoscendo l'ottusita' del personaggio, mi pare una vaccata.

    in ogni caso la mia critica era alla frase

    "E' un demone notoriamente insicuro, sopravvalutato e soprattutto utilizzatissimo senza un reale motivo."

    Ora che si e' evinto che bind e' il dns piu' completo, come motivi questa frase?
    non+autenticato