URGENT! Upgrade your DNS

Ξεκίνησα σήμερα διαβάζοντας το παρακάτω επείγον announcement του BIND ..

  URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT
  URGENT                                                                URGENT
  URGENT    THIS ANNOUNCEMENT REFERS TO AN ISSUE THAT MAY AFFECT THE    URGENT
  URGENT           INTEGRITY OF YOUR RECURSIVE DNS SERVICE              URGENT
  URGENT                                                                URGENT
  URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT URGENT

    Thanks to recent work by Dan Kaminsky of IOActive, ISC has become
    aware of a potential attack exploiting weaknesses in the DNS protocol
    itself to enable the poisoning of caching recurive resolvers with
    spoofed data.

    For additional information about this vulnerability, see US-CERT
    (CERT VU#800113 DNS Cache Poisoning Issue).  For more details on
    changes to BIND, see http://www.isc.org/sw/bind/forgery-resilience.php.

    IF YOU ARE RUNNING BIND AS A CACHING RESOLVER YOU NEED TO TAKE ACTION.

Προφανώς δεν είναι μόνο στο bind, αλλά και σε πολλά άλλα DNS implementations (Microsoft, Cisco, etc), aφού το πρόβλημα είναι «in the DNS protocol itself»..

Περισσότερες πληροφορίες για vulnerable systems στο CERT VU#800113 και για το συγκεκριμένο θέμα μετά το Black Hat Conference στις 7 Αυγούστου.

Προσοχή γιατί μπορεί να χρειαστεί αλλαγή στο firewall που έχετε αλλά και στο configuration (βλέπε debian security advisory dsa-1603).