Accueil > Un méga-patch pour combler une énorme faille d’Internet

Un méga-patch pour combler une énorme faille d’Internet

Publie le mercredi 9 juillet 2008 par Open-Publishing
1 commentaire

Une demi-douzaine d’éditeurs et de constructeurs ont publié des correctifs pour contrer des vulnérabilités critiques du protocole DNS. La majorité des systèmes d’exploitation est concernée.

de Stéphanie Renault

C’est la première fois qu’une telle coordination a lieu. Mardi, alors qu’au cours d’une conférence de presse, un chercheur en sécurité, Dan Kaminsky, dévoilait une faille importante dans le protocole DNS (Domain Name System), pierre angulaire du fonctionnement d’Internet, plusieurs éditeurs parmi lesquels Microsoft, Cisco, Red Hat, Sun Microsystems et l’Internet Software Consortium publiaient, dans un timing
parfait, un correctif de cette faille pour leurs
propres produits.

Il faut dire que cette faille, si elle est exploitée pourrait avoir des effets « horribles ». « Les conséquences de cette faille sont gravissimes et leur ampleur est difficile à imaginer », assure un consultant d’Hervé Schauer Consulting, HSC, cabinet spécialisé dans la sécurité.
Cette vulnérabilité qui touche le coeur du protocole DNS et concerne donc, a priori, tous les systèmes d’exploitation, est une attaque de type DNS Cache Poisoning - contamination du cache DNS. Les serveurs dont le cache est contaminé accueillent les informations de serveurs pirates comme étant celles de vrais serveurs. Ainsi, un internaute se retrouvera à utiliser des services contrôlés par les pirates alors que son serveur lui dira qu’il est sur le bon service. Est concerné le trafic Web, mais aussi les e-mails qui peuvent être détournés.
« Cette faille du protocole DNS est connue depuis longtemps, assure le consultant d’Hervé Schauer Consulting, ce que le chercheur a démontré, c’est surtout qu’elle pouvait être exploitée beaucoup plus facilement qu’on ne le pensait jusque là ».Pour l’instant, aucune attaque exploitant la faille n’a été répertoriée.
Si Cisco, Microsoft et les autres, ont pu réagir avec cette précision de métronome, c’est parce que le chercheur Dan Kaminsky les a alertés depuis six mois sur sa découverte. Une quinzaine d’experts se sont alors réunis fin mars de manière confidentielle pour travailler sur les correctifs.

Tous ceux qui gèrent leur DNS

Mais qui est réellement concerné ? Toutes les entreprises qui gèrent leurs propres DNS, c’est à dire généralement les grandes entreprises, et toutes la chaîne de gestion des DNS, des fournisseurs d’accès à Internet, des hébergeurs, etc. Pour vérifier si l’on est vulnérable aux attaques, le chercheur a mis au point un test en ligne sur Doxpara.com.

Si votre site se révèle vulnérable,
« il faut vous adresser au prestataire de service qui gère votre DNS »,
explique Loïc Damilaville, adjoint au directeur général de l’Afnic, ou faire la mise à jour de vos matériels si vous les gérez vous-même.

« De nombreux matériels, comme les box grand public, intègrent un serveur DNS »,

ajoute le consutant de HSC. Du côté de chez Cisco,
quatre gammes de produits
sont concernées à cause de leur implémentation du protocole DNS. Les plus répandus sont les routeurs qui utilisent le système
d’exploitation IOS de Cisco.
« Mais, pour être vulnérable à cette faille, il faut que le serveur DNS soit activé dans le routeur, or, par défaut, il est désactivé »,
note Christophe Perrin, responsable
du développement du marché de la sécurité chez Cisco,
« la criticité est plus grande pour les matériels et logiciels qui sont directement utilisés en tant que serveurs DNS ».
Il conseille donc de ne faire la mise à jour immédiate que pour ces matériels.

Microsoft et Red Hat dans la même faille

C’est le cas de Microsoft qui a publié un correctif, concernant Windows 2000, XP, 2003 et 2008. Vista échappe à la faille comme Windows Server 2008 pour les systèmes Itanium.
Autres correcteurs : Red Hat et ICS. Red Hat a fourni les patchs pour les principales distributions Entreprise (2.1, 3 et 4 et 5) qui utilisent les versions de BIND (9.3, 9.4 et 9.5) d’ICS, elles-mêmes contaminées et corrigées.
Si le patch comble la faille, il risque aussi de ralentir les performances du serveur DNS. En effet, la correction consiste à rajouter des routines qui vont compliquer le dialogue entre le serveur DNS et celui qui l’interroge (serveur ou client), et par là même le ralentir.
Le CERT (Computer Emergency Readiness Team) US a publié une liste des constructeurs et des produits qui sont vulnérables à la faille. Le niveau de la vulnérabilité de la plupart des constructeurs et éditeurs cités est actuellement « inconnu », seuls ceux ayant publié des patchs étant identifiés comme « vulnérables ».
Pour les principaux intéressés, il reste quelques semaines pour faire la mise à jour. Début août, lors de la Black Hat Conference, Dan Kaminsky a annoncé qu’il donnerait plus de détail sur la faille en question. Et notamment, comment elle peut être exploitée. A vos patchs !

http://www.01net.com/editorial/3859...

Une mise à jour Microsoft plante Zonealarm (mis à jour)

Par : Cyril Fussy - mercredi 09 juillet 2008 à 11:59

Mise à jour 15:30, 09/07/08

Checkpoint signale désormais aux utilisateurs de Zone Alarm trois options qui leur permettront de contourner le problème en attendant une solution définitive.

Tout est ici.

Les utilisateurs du pack de sécurité ZoneAlarm n’ont peut-être pas trop envie d’installer la mise à jour KB951748 de Microsoft.

Si l’on en croit différents forums, la première chose que vous risquez de constater est que votre connexion internet s’évanouit après les changements apportés aux fichiers réseau par la mise à jour KB951748 que Zonealarm ne semble pas aimer. Puis tout se bloque pour plus de sécurité.

Vous pouvez contourner le problème en ajustant les permissions Internet Zone Security sur medium, ce qui vous rendra votre connexion internet mais n’est pas très recommandé d’un point de vue de la sécurité.

Les forums proposent des conseils similaires mais la meilleure idée semble être pour l’instant de ré-initialiser la base de données de ZoneAlarm.

Ni Microsoft ni ZoneAlarm n’ont issu le moindre communiqué au sujet d’un problème qui semble provenir des différentes tailles de fichiers et de checksums (intégrité des fichiers).

Installer la KB951748 en l’absence d’informations de la part de l’une ou l’autre des sociétés ne semble pas être une excellente idée.

L’Inq
DSL Reports

Traduction et adaptation d’un article de Nick Farrell pour INQ.

http://www.theinquirer.fr/2008/07/0...

Messages