DNS mon zami :o)

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Publier une réponse

DNS mon zami :o)

Messagepar tomtom » 09 Juil 2008 13:39

Jolie faille DNS multiple publiée ce jour...

Ha ! et oui ils l'ont fait, tous les développeurs de softs de DNS se sont mis d'accord dans le plus grand secret pour modifier légèrement l'implémentation de leurs démons et sortir des patches en même temps avant publication de la faille. La gouvernance de la sécurité mondiale !

Un peu d'humour dans tout ça :
http://forums.ixus.fr/viewtopic.php?t=1 ... ght=djbdns

Ecoutez les anciens :lol: :lol:


Et le moment joussif de la journée :

http://www.doxpara.com/
After evaluating several options, one approach was clear — and, I must admit, somewhat embarassing to Paul [Vixie].

DJB was right. All those years ago, Dan J. Bernstein was right: Source Port Randomization should be standard on every name server in production use.



Hum, juste, c'est bon... Bien coder, c'est comme le loto, c'est pas cher et ça peut rapporter gros ;)

Le lien précédent permet egalementy de tester votre DNS pour savoir si vous etes vulnérable (attention, ca fait mal).

Bons patches à tous.
Et Bravo aux SMEIstes qui ont d'ores et déja un démon correct.


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris
Haut

Messagepar jdh » 09 Juil 2008 14:24

Dans http://www.kb.cert.org/vuls/id/800113 on lit bien ce que tu indiques depuis 2004 :

Credit

Thanks to Dan Kaminsky of IOActive for identifying the effectiveness and practicality of DNS cache poisoning, and to Paul Vixie of Internet Systems Consortium (ISC) for raising the urgency of these issues. Daniel J. Bernstein is credited with the original idea and implementation of randomized source ports in the DNS resolver.



Néanmoins, de mémoire, il faut aussi dire que Dan Bernstein revendique (revendiquait ?) la fourniture exclusive des binaires de DJBDNS, QMail et autres de ses programmes. Ceci a agacé certains défenseurs du libre, pour lesquels la fourniture du source est primordiale et qui ont vu en cela un empêchement d'apporter des patchs et/ou la difficulté de packager ces programmes dans certaines distributions.

Il faut reconnaitre le génie de programmation à Dan Bernstein (génie dans la qualité du code et ... la conception ... sauf peut-être des fichiers de conf !). Dans le même temps (et antérieurement) ISC (fournisseur de Bind et dhcp server) a été très faible quand aux failles de ces produits.

Les optimistes diront qu'il fallait les failles de Bind pour qu'un bon programmeur écrive un programme beaucoup plus sur. Le mieux eut été d'avoir plus vite un programme avec beaucoup moins de failles !



Source : http://en.wikipedia.org/wiki/Daniel_J._Bernstein
Bernstein offers a security guarantee for qmail and djbdns; while there is a dispute over a reported potential qmail exploit, no functioning exploits of any of these programs have been published.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar antolien » 09 Juil 2008 21:36

:lol:
Merci tomtom pour le retour en arrière :oops:
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00
Haut
Publier une réponse

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron