Bug im Linux-Kernel belebt alten Angriffsweg auf DNS-Server wieder
Zahlreiche DNS-Server sind anfällig gegen Angriffe, mit denen Nutzern falsche Auflösungen von Domain-Namen untergeschoben werden können. Die jetzt gefundene Schwachstelle bringt ein Problem zurück, mit dem Admins bereits seit 2008 kämpfen.
Zurück geht die Sicherheitslücke auf den Security-Forscher Dan Kaminsky, der vor über zehn Jahren eine DNS-Cache-Poisoning-Attacke auf DNS-Server demonstrierte. Hier war es möglich, die Datenbank-Einträge von außen zu fälschen, so dass bei der Anfrage zu einer bestimmten Domain eine falsche IP-Adresse zurückgeschickt wurde.
Die Manipulation war möglich, weil die Prüfung der Legitimität einer Quelle von Datenbank-Änderungen lediglich auf der richtigen Transaktions-ID beruhte. Diese war lediglich 16 Bit groß, so dass es nur 65.536 mögliche Nummern geben konnte. Ein Angreifer konnte so letztlich einfach alle Variationen durchprobieren, bis der DNS-Server ein Paket als rechtmäßig anerkannte und die IP-Adresse zum gewünschten Domainnamen übernahm. Dagegen wurden in der Zwischenzeit natürlich diverse Patches und Änderungen an der Architektur des gesamten Systems in Stellung gebracht.
Laut den Sicherheitsforschern sind laut den vorliegenden Analysen immerhin bis zu 38 Prozent der DNS-Server von Providern und offenen Anbietern wie OpenDNS oder Quad9 anfällig für entsprechende Angriffe. Aktuell gibt es keine Hinweise darauf, dass die Probleme auch die DNS-Software auf anderen Plattformen wie Windows oder Unix betreffen. Insofern dürfte es ausreichen, wenn der fragliche Seitenkanal durch Patches für den Linux-Kernel geschlossen wird.
Siehe auch:
Die Manipulation war möglich, weil die Prüfung der Legitimität einer Quelle von Datenbank-Änderungen lediglich auf der richtigen Transaktions-ID beruhte. Diese war lediglich 16 Bit groß, so dass es nur 65.536 mögliche Nummern geben konnte. Ein Angreifer konnte so letztlich einfach alle Variationen durchprobieren, bis der DNS-Server ein Paket als rechtmäßig anerkannte und die IP-Adresse zum gewünschten Domainnamen übernahm. Dagegen wurden in der Zwischenzeit natürlich diverse Patches und Änderungen an der Architektur des gesamten Systems in Stellung gebracht.
Andere Systeme nicht betroffen
Informatiker der University of California in Riverside haben nun aber einen Weg gefunden, auf dem die gleiche Manipulation wieder durchgeführt werden kann. Dieser führt über einen Seitenkanal im Linux-Kernel, der bereits seit gut zehn Jahren existiert, und der sich über das Betriebssystem der Server auch in diverse DNS-Anwendungen wie BIND, Unbound und dnsmasq fortsetzt.Laut den Sicherheitsforschern sind laut den vorliegenden Analysen immerhin bis zu 38 Prozent der DNS-Server von Providern und offenen Anbietern wie OpenDNS oder Quad9 anfällig für entsprechende Angriffe. Aktuell gibt es keine Hinweise darauf, dass die Probleme auch die DNS-Software auf anderen Plattformen wie Windows oder Unix betreffen. Insofern dürfte es ausreichen, wenn der fragliche Seitenkanal durch Patches für den Linux-Kernel geschlossen wird.
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen