Commentaires sur : L’exploit de la faille DNS est de sortie

Par : Ganiest

Ganiest — Wed, 30 Jul 2008 20:56:39 +0000

Je trouve le testeur de doxpara un peu moyen, je préfère largement celui la:
https://www.dns-oarc.net/

Par : Merci OpenDNS | bonvga.net

Merci OpenDNS | bonvga.net — Sat, 26 Jul 2008 21:45:32 +0000

[...] n’avais quasiment plus de net, juste quelques sites encore accessibles. J’avais entendu parler de la fameuse faille de sécurité sur les serveurs DNS quelques jours auparavant, j’ai tout de suite pensé que free en était victime. Apparemment, ce [...]

Par : Le weblog de dwitgsi » Blog Archive » Ce que tout le monde blog, sauf moi ! #7

Fri, 25 Jul 2008 14:33:54 +0000

[...] L’exploit de la faille DNS est de sortieLes outils pour programmer efficacement sous LinuxComment faire une redirection 301 ?SysAdmin Day : souhaitez une bonne fête à votre admin systèmeNettoyer votre Ubuntu Linux cm_api_urlproxy=’http://blog.dwitgsi.fr/wp-content/plugins/commentag_plugin.php?proxy=1&’; Partager: Ces icones representent les sites de bookmarking social dans lesquels vos lecteurs peuvent partager et faire découvrir vos pages. [...]

Par : Failles DNS tout n’est pas corrigé?

Failles DNS tout n’est pas corrigé? — Fri, 25 Jul 2008 05:57:01 +0000

[...] le check des dns, j’ai trouvé ça via korben.info Marqué comme: FAI, risque, sécurité Et aussi Chine l’accés internet libre – [...]

Par : Korben

Korben — Thu, 24 Jul 2008 12:12:30 +0000

@Benich: la faille oui mais pas l'exploit...

Par : Rahimblakblog

Rahimblakblog — Thu, 24 Jul 2008 10:40:29 +0000

Ouep mais il va se retrouver comme un con à la BH si tout le monde sait déjà comme elle fonctionne…

Le pauvre :p de toute façon, ce n’est lui qui a découvert la faille, car cela faisait déjà bien longtemps qu’on le savait (Y’a des papers du SANS institue sur cette faille.) lui, il a juste trouver comment l’exploiter facilement

Par : flobigom

flobigom — Thu, 24 Jul 2008 10:18:33 +0000

installer pour moi

Par : Tsukasa

Tsukasa — Thu, 24 Jul 2008 10:16:11 +0000

@Rahimblakblog: c’est normal que certain n’attende pas, c’est une course au 1er qui réussira a produire un sploit avec le peut d’information qu’il dispose, s’il ne le sortait pas, il perdrait …

Franchement, je la trouve enorme cette faille, par ses possibilités d’exploitation dévastatrice, mais aussi parce que elle remet en cause TOUT le fondement d’internet ! c’est une histoire sans précédent !

Je pense que je vais comme même attendre un petit mois avant d’acheter sur internet, on ne sais jamais

Je retourne essayer de comprendre comment marche la faille et sortez couvert (blagounette )

Par : randi

randi — Thu, 24 Jul 2008 09:35:49 +0000

@Rahimblakblog : lis mon commentaire tu verra qu’ils font un random sur 16 bits au lieu de remonter qu seed du pseudo générateur comme ils devraient le faire pour réduire à +- 200 le nombre de fausse requêtes à effectuer pour réussir. Donc l’exploit est que très peu fonctionnel. L’exploit publié était fesable bien avant la découverte de dan kaminsky. Il existe une version améliorée de l’exploit ( http://www.caughq.org/exploits/CAU-EX-2008-0003.txt ) et on en parle ici : http://sid.rstack.org/blog/index.php/287-dns-encore-peut-etre-une-solution

Par : Rahimblakblog

Rahimblakblog — Thu, 24 Jul 2008 09:19:41 +0000

Eh eh, quels connards ces types, il attendent même pas le 6 pour lancer un Xploit, franchement, y’a des cons sur terre ! (surtout pour le créateur qui s’est fait chier à attendre le 6 pour démontrer la vulnz du système !)

Concernant les failles de nos FAI (sic.) il y a pareil que celle des DNS mais…. chez VOUS ! Oui oui mes amis, une simple attaque CSRF sur votre box (sauf free) et hop, vous voilà dirigé vers de faux sites.

Un paper que j’ai écris l’année dernière que cela :

http://www.rahimblakblog.fr/2008/03/22/papier-sur-les-attaques-csrf-sur-les-box/

Bon je vous laisse et pensez à changer vos mots de passe de routeurs, box, etc.

Par : nicobbg

nicobbg — Thu, 24 Jul 2008 09:18:47 +0000

Ah oui, j’me souviens qu’on a mis à jour en urgence les DNS du taf pour cette faille la semaine dernière! Et c’est bon de savoir qu’Open DNS est à jour lui aussi puisque ce sont ceux que j’utilise depuis chez moi.
Bref, tout ne vas pas si mal que ça

Par : snash

snash — Thu, 24 Jul 2008 09:16:44 +0000

Je me permet jusque quelques réserves sur OpenDNS.
Le service me parait une bonne initiative mais me fait un peu peur.
Si ce service s’impose, il auront tout loisir de modifier les DNS à loisir et alors a coté cette faille sera de la gnognotte.
Je sais que c’est un peu parano mais je me méfie.

Par : AbriCoCotier

AbriCoCotier — Thu, 24 Jul 2008 08:55:33 +0000

@Korben : comment peut-on savoir si son hébergeur de mutualisé a fait la màj de son serveur ?

Par : kazounet

kazounet — Thu, 24 Jul 2008 08:50:05 +0000

Pour résumer, le but du patch est de rendre aléatoire les ids de transaction utilisés dans les échanges DNS ceci rendant l’exploit plus difficile à mettre en oeuvre (mais pas impossible en théorie).

Cependant, pour les DNS situés dans un réseau NAT/PAT, cette entropie (désordre en gros) est annulée du fait de la prévisibilité relative des ports sources utilisés par le PAT.
Il est donc déconseillé d’utiliser du NAT/PAT avec des DNS.

Plus d’infos ici :
http://fergdawg.blogspot.com/2008/07/us-cert-natpat-affects-dns-cache.html

Par : Droïde

Droïde — Thu, 24 Jul 2008 08:36:50 +0000

@Benich: je confirme pour moi c’est redevenu normal aussi

Par : Benich

Benich — Thu, 24 Jul 2008 08:25:48 +0000

Tout semble être revenu dans l’ordre pour free

Par : randi

randi — Thu, 24 Jul 2008 08:10:45 +0000

Salut, dommage ce billet dénote de l’habituelle qualité que j’attends de ce blog :’(

@Manu c’est ‘corrigé’ dans le sens où la pluspart des serveur DNS ont publié conjointement un patch. Certains serveurs DNS n’étaient pas vulnérables

@Korben, non non et non Dan Kaminsky n’a pas publié d’autre qu’un advisory, c’est à dire un descriptif des modifications faites pour empêcher l’exploitation de la faille. Il donnera les détails techniques à la conf black Hat qui a lieu le mois prochain
Pour l’exploit… vu le hype causé par la découverte de cette faille, beaucoup ce sont mis à chercher en partant de modifications à faire pour conrriger (16bits de RXID deviner et possibilité d’utiliser des requetes multiples). Reste que cet exploit ne devrais pas être aussi efficace que cela car il n’utilise rien pour deviner l’ID (car en fait le générateur pseudo aléation de ce rxid est faillible) comme le montre ce code :
req.id = rand(2**16)

Un vrai exploit devrais pouvoir fonctionner bien plus rapidement que ça :
[*] Poisoning successful after 7000 attempts: pwned.example.com == 1.3.3.7

7000 essais = 7000 essais = IDS qui crie et Firewall qui bloque tout pensant à un DOS (genre netfilter avec son module limit http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-7.html ).

Quant à free, j’ai eu une coupure du service hier soir vers 1h30 mais je sais pas du tout ce qui à été modifié.

Par : Droïde

Droïde — Thu, 24 Jul 2008 08:04:30 +0000

je vient d’aller faire un tour sur les newsgroup de free, cela semble bien général mais pas encore de cause donnée.

Par : nico

nico — Thu, 24 Jul 2008 07:56:42 +0000

merci manu, Heureusement que Korben.info est joignable

Par : Benich

Benich — Thu, 24 Jul 2008 07:56:04 +0000

Korben, la faille DNS est sortie depuis quelques semaines

Sinon, je suis chez orange, et je ne peut pas non plus accéder aux sites *.free.fr .

Ca doit être général…

Par : Manu

Manu — Thu, 24 Jul 2008 07:42:43 +0000

Ben on en parlait déjà y’a plusieurs semaines et j’croyais que c’était corrigé ( http://www.presence-pc.com/actualite/Faille-DNS-Internet-30355/ ).

Par : xofox

xofox — Thu, 24 Jul 2008 07:42:30 +0000

@Droide et nico :
http://iwi.lebardegandi.net/post/2008/07/24/Probleme-d-accessibilite-avec-free
Il y a donc bien un souci avec les DNS de Free

Par : Droïde

Droïde — Thu, 24 Jul 2008 07:35:28 +0000

@nico: je suis chez free aussi ... peut-être qu'ils mettent à jour.

Par : nico

nico — Thu, 24 Jul 2008 07:27:30 +0000

bug chez moi ou coincidence ?

Ce matin je n’avais plus de résolution DNS chez moi ( DNS de Free )
j’ai basculé sur les DNS de ma dédibox.

Par : Droide

Droide — Thu, 24 Jul 2008 07:08:40 +0000

impressionant quand même cette faille. Est-ce une coincidence avec le fait que Gandi.net ne soit pas accessible ce matin ?
je vais sur mon site (serveur chez moi) mais nom de domaine introuvable, et a force je vais sur gandi pour voir et bam quedal …

edit : pareil que toi Gana

Par : Gana

Gana — Thu, 24 Jul 2008 07:08:28 +0000

quand je clique sur ‘check dns’ :

Serveur introuvable

Firefox ne peut trouver le serveur à l’adresse xxxxxxx