Lug21200821 Luglio 200828 Gennaio 20140Commentidi Ermanno Goletto

Vulnerabilità DNS e tempo d’installazione hotfix

Pubblicato in IT, Security, Tips

La notizia inerente alla security più importante di luglio 2008 (ma forse dell’intero nanno) è sicuramente quella sulla vunerabilità dei DNS. Ora le patch ci sono per le maggiori piattaforme, sia lato client che server, è stato raccomandato di installarle, ma comunque i tempi con cui i sistemi saranno tutti corretti non saranno brevi.

Si pensi che ad oggi i DNS Telecom non sono ancora stati corretti, infatti se si configura un server DNS in ambiente Windows  2003 server su cui sono state installate le hotfix 951748 relativa al DNS Client e la 951746 relativa al  DNS Server per l’utilizzo dei DNS 151.99.125.2 (dns.interbusiness.it) e 151.99.0.100 (ns2.interbusiness.it) come forwarders e si prova a fare il controllo della vulnerabilità tramite il tool sul sito http://www.doxpara.com/ si ottiene il seguente risultato:

 

Your name server, at 82.53.187.212, appears vulnerable to DNS Cache Poisoning.

All requests came from the following source port: 32770

Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix.

 

Per risolvere temporanemente il problema possiamo evitare di usare i DNS Telecom e utilizzare i root hints meno performanti, ma su cui sono state installate le fix di sicurezza come possimo vedere dall’esito del test:

 

 

Your name server, at 85.34.242.194, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.
——————————————————————————–
Requests seen for 2f6c2c83c89a.toorrr.com:
85.34.242.194:53287 TXID=57307
85.34.242.194:2142 TXID=50694
85.34.242.194:41873 TXID=38854
85.34.242.194:9481 TXID=32051
85.34.242.194:62970 TXID=32554

 

In alterniva è possibile utilizzare i DSN di OpenDNS, ovvero 208.67.222.222 e 208.67.220.220 come indicato in Enable OpenDNS. Infatti anche sui server OpenDNS sono state installate le fix di sicurezza come possimo vedere dall’esito del test:

 

Your name server, at 208.69.34.6, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern.
——————————————————————————–
Requests seen for 430c7990da00.toorrr.com:
208.69.34.6:9178 TXID=26677
208.69.34.6:47049 TXID=36369
208.69.34.6:6634 TXID=44392
208.69.34.6:52766 TXID=40142
208.69.34.6:44603 TXID=34376

Per un elenco delle fix rilasciate da ciascuna piattaforma e ulteriori informazioni sulla vulnerebilità si veda Vulnerability Note VU#800113.