Vulnerabilità DNS e tempo d’installazione hotfix
La notizia inerente alla security più importante di luglio 2008 (ma forse dell’intero nanno) è sicuramente quella sulla vunerabilità dei DNS. Ora le patch ci sono per le maggiori piattaforme, sia lato client che server, è stato raccomandato di installarle, ma comunque i tempi con cui i sistemi saranno tutti corretti non saranno brevi.
Si pensi che ad oggi i DNS Telecom non sono ancora stati corretti, infatti se si configura un server DNS in ambiente Windows 2003 server su cui sono state installate le hotfix 951748 relativa al DNS Client e la 951746 relativa al DNS Server per l’utilizzo dei DNS 151.99.125.2 (dns.interbusiness.it) e 151.99.0.100 (ns2.interbusiness.it) come forwarders e si prova a fare il controllo della vulnerabilità tramite il tool sul sito http://www.doxpara.com/ si ottiene il seguente risultato:
Your name server, at 82.53.187.212, appears vulnerable to DNS Cache Poisoning. All requests came from the following source port: 32770 Do not be concerned at this time. IT administrators have only recently been apprised of this issue, and should have some time to safely evaluate and deploy a fix. |
Per risolvere temporanemente il problema possiamo evitare di usare i DNS Telecom e utilizzare i root hints meno performanti, ma su cui sono state installate le fix di sicurezza come possimo vedere dall’esito del test:
Your name server, at 85.34.242.194, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern. |
In alterniva è possibile utilizzare i DSN di OpenDNS, ovvero 208.67.222.222 e 208.67.220.220 come indicato in Enable OpenDNS. Infatti anche sui server OpenDNS sono state installate le fix di sicurezza come possimo vedere dall’esito del test:
Your name server, at 208.69.34.6, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern. |
Per un elenco delle fix rilasciate da ciascuna piattaforma e ulteriori informazioni sulla vulnerebilità si veda Vulnerability Note VU#800113.