Ancora falle nel più diffuso server DNS

Una società di sicurezza ha scoperto tre nuovi vulnerabilità in alcune versioni di BIND, una delle colonne portanti del sistema DNS. Moltissimi i server a rischio

Boston (USA) - Dopo le gravi falle scoperte la scorsa estate, la nota e più diffusa implementazione del DNS, BIND, torna a far preoccupare gli esperti di sicurezza. Una società specializzata nella protezione delle reti, Internet Security Systems (ISS), ha infatti portato alla luce tre nuove vulnerabilità che affliggono alcune vecchie, ma ancora molto utilizzate, versioni di BIND: la 4 e la 8.

Il DNS è quel sistema che in Internet permette di tradurre i cosiddetti "nomi di dominio", ossia gli indirizzi scritti in formato alfabetico mnemonico (come "punto-informatico.it"), nei rispettivi indirizzi IP numerici (come "62.152.117.85").

ISS ha spiegato che delle tre falle scoperte in BIND due rendono i server DNS vulnerabili ad attacchi di tipo denial of service, ed una - consistente in un buffer overflow - potrebbe addirittura permettere ad un aggressore di far girare del codice malevolo su di un sistema remoto.
Il rischio, secondo ISS, è che l'insorgere di queste falle possa favorire il lancio di attacchi DDoS di vasta portata, come quello verificatosi di recente, o il diffondersi di nuovi e pericolosi worm.

"Un worm potrebbe essere in grado di sfruttare il buffer overflow appena scoperto in BIND", ha affermato Dan Ingevaldson, esperto di sicurezza presso ISS. "Ci sentiamo di dire che questa vulnerabilità è della stessa classe di quella che a suo tempo rese così celebre Code Red".

Ingevaldson sostiene poi che sarebbero decine o anche centinaia di migliaia i server su cui gira ancora una qualche versione di BIND 4 o 8. Sebbene questo software sia arrivato alla versione 9, molti amministratori di sistema preferiscono continuare ad utilizzare quelle che, per ironia della sorte, avrebbero dovuto essere le più collaudate, e quindi sicure, versioni precedenti.

L'Internet Software Consortium, l'organismo che porta avanti lo sviluppo open source di BIND, raccomanda agli amministratori di sistema che non lo avessero ancora fatto di aggiornare quanto prima i propri server a BIND 9. In alternativa, nei prossimi giorni verranno rilasciate nuove versioni aggiornate di BIND 4 e 8.

Sulle vulnerabilità di BIND e le debolezze del DNS è possibile leggere, su questo stesso numero, l'articolo di Alessandro Franceschi.
TAG: mondo
36 Commenti alla Notizia Ancora falle nel più diffuso server DNS
Ordina
  • Ho appena ricevuto una e-mail dal "debian-security-announce" dove spiegano il problema, e avvertono che con "apt-get update;apt-get upgrade" la falla sarebbe chiusa, se io avessi bind installato. Il problema è già corretto mentre voi state ancora a parlarne.

    Per la cronaca non dovrei neanche riavviare il sistema.

    Quanto tempo ci mette la microsoft, dopo che i cracker da mesi giocano con le sue debolezze, ad annunciarle pubblicamente, e quanto altro a correggere? E il downtime dovuto al riavvio?

    non+autenticato
  • co o scusate dell'open sorcio.

    Win sempre più sicuro, mentre i vari *nix sempre più insicuri, che dire bind non è *nix, ma è sconfortante apprendere che gli ha prodotto questo obbrobrio ha partecipato e partecipa allo sviluppo dei kernel *nix
    non+autenticato
  • peccato che epr windows neanche ESISTANO server dns degni di questo nome, tanto e' vero che la M$ per i suoi dns ha incaricato una ditta che usa freedbs
    non+autenticato
  • > peccato che epr windows neanche ESISTANO
    > server dns degni di questo nome, tanto e'
    > vero che la M$ per i suoi dns ha incaricato
    > una ditta che usa freedbs

    peccato che BIND non sia linux
    e che windows non sia un DNS
    bind gira anche sotto windows
    ma siccome e' fallato, e' meglio che giri su macchine BSD, fuori dalla rete Microsoft, dal punto di vista dell'immagine per MS.
    non+autenticato
  • - Scritto da: bellali
    > peccato che BIND non sia linux
    ma va'?
    > e che windows non sia un DNS
    davvero??
    > bind gira anche sotto windows
    nstivamente o con cygnus?
    > ma siccome e' fallato, e' meglio che giri su
    > macchine BSD, fuori dalla rete Microsoft,
    > dal punto di vista dell'immagine per MS.
    ahahahahaha bella stronzata
    non+autenticato
  • > > bind gira anche sotto windows
    > nstivamente o con cygnus?

    nativamente

    > > ma siccome e' fallato, e' meglio che giri
    > su
    > > macchine BSD, fuori dalla rete Microsoft,
    > > dal punto di vista dell'immagine per MS.
    > ahahahahaha bella stronzata

    se zompa il DNS che gestisce katamai per Microsft quelli come te non potranno piu' dire "non sanno tenere manco un dns"
    e' talmente facile da capire...
    alla fine con i server DNS non ci si guadagna una lira..
    e poi tutti continuano a dire che il problema fu di dns, ma fu un problema di routing...
    solo che i DNS stavano dietro al router che impazzi'...

    e' facile fare FUD con gli utonti... vero?

    ciao
    non+autenticato


  • - Scritto da: no-bind
    > > > bind gira anche sotto windows
    > > nstivamente o con cygnus?
    >
    > nativamente
    >
    > > > ma siccome e' fallato, e' meglio che
    > giri
    > > su
    > > > macchine BSD, fuori dalla rete
    > Microsoft,
    > > > dal punto di vista dell'immagine per
    > MS.
    > > ahahahahaha bella stronzata
    >
    > se zompa il DNS che gestisce katamai per
    > Microsft quelli come te non potranno piu'
    > dire "non sanno tenere manco un dns"
    > e' talmente facile da capire...
    > alla fine con i server DNS non ci si
    > guadagna una lira..
    se bind e' fallato perche' non usano exchange? Sorride in fondo o vendono anche come server dns, o non si fidano dei loro stessi prodotti?
    > e poi tutti continuano a dire che il
    > problema fu di dns, ma fu un problema di
    > routing...
    > solo che i DNS stavano dietro al router che
    > impazzi'...
    link?
    >
    > e' facile fare FUD con gli utonti... vero?
    si la M$ lo sa bene
    >
    > ciao
    non+autenticato
  • > > solo che i DNS stavano dietro al router
    > che
    > > impazzi'...
    > link?


    fai bene a non fidarti
    http://www.theregister.co.uk/content/6/16381.html

    era "solo" sbagliata la configurazione della rete
    nessunno grande come Microsoft dovrebbe mettere DNS primari e secondari nello stesso segmento di rete...
    non+autenticato


  • - Scritto da: findus
    > co o scusate dell'open sorcio.
    >
    > Win sempre più sicuro, mentre i vari *nix
    > sempre più insicuri, che dire bind non è
    > *nix, ma è sconfortante apprendere che gli
    > ha prodotto questo obbrobrio ha partecipato
    > e partecipa allo sviluppo dei kernel *nix

    Ci sono server DNS non opensource che funzionano? Dimmi qualche nomeSorride
    non+autenticato
  • - Scritto da: Piratone
    >
    > Ci sono server DNS non opensource che
    > funzionano? Dimmi qualche nomeSorride

    Si esiste microsoft exchange e va pure alla grande.
    nell'azienda dove lavoro ho fatto installare exchange proprio perche conoscevo il bind e la sua insicurezza.

    non+autenticato


  • - Scritto da: Pincone
    > - Scritto da: Piratone
    > >
    > > Ci sono server DNS non opensource che
    > > funzionano? Dimmi qualche nomeSorride
    >
    > Si esiste microsoft exchange e va pure alla
    > grande.
    > nell'azienda dove lavoro ho fatto installare
    > exchange proprio perche conoscevo il bind e
    > la sua insicurezza.

    Porcoweb, avanti, al lavoro, questa deve andare dritta sul sito dell'infamia. Io credo che nemmeno uno che è stato bocciato alla Sculo Radio Elettra possa sparare una cazzata simile A bocca aperta
    non+autenticato
  • gia' fatto, era la cazzata piu' grossa della giornata (pero' bisogna dire che oggi mancano i post di ziobill quindi e' stato facilitato nel vincere la palma del piu' ignorante.
    non+autenticato
  • Prima Sendmail, ora l'altro dinosauro...
    Il problema è che in questo caso, a differenza di Sedmail, le alternative sono proprio poche... se solo djbdns fosse usabile in contesti un po' più impegnativi Bind l'avrei buttato nel cesso da un po'...
    Qualcuno usa qualcosa di diverso ?
    non+autenticato
  • si, bind 9

    ;)
    non+autenticato


  • - Scritto da: gsam
    se solo djbdns fosse
    > usabile in contesti un po' più impegnativi
    > Bind l'avrei buttato nel cesso da un po'...

    Cosa ha che non va djbdns?
    non+autenticato


  • - Scritto da: Brian
    >
    >
    > - Scritto da: gsam
    >   se solo djbdns fosse
    > > usabile in contesti un po' più impegnativi
    > > Bind l'avrei buttato nel cesso da un
    > po'...
    >
    > Cosa ha che non va djbdns?

    L'autoreSorride
    non+autenticato
  • sei scemo? Bernstein ha anche scritto qmail puoi dire quello che vuoi ma non che non sappia scrivere codice
    non+autenticato


  • - Scritto da: burp
    > sei scemo? Bernstein ha anche scritto qmail
    > puoi dire quello che vuoi ma non che non
    > sappia scrivere codice


    Appunto

    Ma forse lui si rifrerisce alla persona.
    Nel senso che forse gli sta sulle balle per le sue attività pubbliche, tipo il processo intentato contro gli lo stato (forse)
    non+autenticato
  • - Scritto da: burp
    > sei scemo? Bernstein ha anche scritto qmail
    > puoi dire quello che vuoi ma non che non
    > sappia scrivere codice

    le due cose più brutte di qmail sono
    * la licenza
    * i file di configurazione che, almeno fino all'ultima volta che ho guardato,
    non erano in /etc.

    Per il resto non è male, ma uso postfix, che mi piace di più (:
    non+autenticato


  • - Scritto da: ban bernie now!
    >
    >
    > - Scritto da: Brian
    > >
    > >
    > > - Scritto da: gsam
    > >   se solo djbdns fosse
    > > > usabile in contesti un po' più
    > impegnativi
    > > > Bind l'avrei buttato nel cesso da un
    > > po'...
    > >
    > > Cosa ha che non va djbdns?
    >
    > L'autoreSorride


    Ti sta sul mazzo?
    non+autenticato


  • - Scritto da: Brian
    >
    >
    > - Scritto da: gsam
    >   se solo djbdns fosse
    > > usabile in contesti un po' più impegnativi
    > > Bind l'avrei buttato nel cesso da un
    > po'...
    >
    > Cosa ha che non va djbdns?

    Per 100naia di domini non va bene.
    Altrimenti quale idiota si ostinerebbe a usare Bind quando è disponibile un software come djbdns ? Niente falle di sicurezza e simili, ma io, ad esempio, ho avuto serie difficolta a gestire molti domini, il modo in cui djbdns IMVHO non è funzionale allo scopo. Inoltre la licenza mi sembra restrittiva.
    Ciao.
    non+autenticato