Уязвимость под названием DNS Cache Poisoning, которая могла бы затронуть значительную часть Интернета, исправлена общими усилиями специалистов по сетевой безопасности и крупных корпораций, в числе которых Microsoft, Sun и Cisco. Вчера были выпущены патчи, в том числе и для ОС Windows.
Как сообщает CNet, суть проблемы в том, что 13 корневых DNS-серверов обмениваются с рядовыми серверами запросами с уникальным идентификатором. Он генерируется случайно, но только в диапазоне от 0 до 65535 (16 бит). Когда формируется запрос о том, какому IP-адресу соответствует данный домен, злоумышленник может подобрать идентификатор этого запроса и подставить для вполне легитимного сайта поддельный IP-адрес. В результате открывается простор для фишинга – можно имитировать сайты банков или интернет-магазинов, и пользователь ничего не заметит.
После установки патча DNS-сервер обменивается с корневым сервером (или, наоборот, с рядовым пользователем самого DNS-сервера) запросами с более сложным (32 бита) идентификатором. Кроме того, процедура генерации чисел становится более близкой к случайной.
Уязвимость в работе DNS была обнаружена примерно полгода назад специалистом по безопасности компании IOActive Дэном Камински (Dan Kaminsky). Он передал информацию крупным производителям серверного софта и сетевого оборудования, чтобы они втайне готовили патч. Сейчас работа завершена, и, как ожидается, большинство серверов будет защищено от DNS Cache Poisoning в течение месяца. Проверить свой DNS-сервер на наличие уязвимости можно на сайте Дэна Камински.
Хотя общий принцип уязвимости и стал понятен, все подробности хранятся в тайне. Полностью рассказать о том, как можно было подделать DNS-запрос и о том, почему это будет сделать сложнее теперь, Дэн Камински собирается на конференции Black Hat 2008 в начале августа.
