A legutóbb a Spamhaus elleni kibertámadás során merültek fel komolyabb nehézségek a DNS szervereknél (Domain Name Server). Ezek a problémák azért is váltanak ki nagy visszhangot, mert a DNS-kiszolgálók kritikus fontosságú rendszerek, amelyek a névfordításért felelősek. A BIND, amely az egyik legelterjedtebb, nyílt forráskódú DNS szerver, a múlt jelentett be egy olyan biztonsági rést, ami komoly veszélyeket rejt – ráadásul épp az olyan szolgáltatásmegtagadási támadások esetében, mint ami a Spamhaust is érte.
Nem csak BIND van veszélyben
Bár a biztonsági rést a BIND-ben fedezték fel, az közel sem csak ezt a szervert érintheti. Minden olyan szolgáltatásra, alkalmazásra veszélyes, amelyek az érintett rendszereken futnak. A sebezhetőség lányege ugyanis az, hogy a támadással megcélzott szoftver a speciálisan összeállított hálózati kérések feldolgozásakor képes felemészteni az összes rendelkezésre álló szabad memóriát, ami végső soron a kiszolgálók összeomlását vagy megbénulását eredményezi.
"E körülmények szándékos kihasználása szolgáltatásmegtagadáshoz vezethet minden olyan autoritatív és rekurzív névkiszolgálón, amelyek az érintett BIND-verziók valamelyikét futtatják" - nyilatkozta az Internet Systems Consortium (ISC) – a szervezet a sérülékenységet éppen ezért minősítette kritikus veszélyességűnek.
Kockázatcsökkentés
Már egy sor olyan exploit készült, amely kifejezetten a most nyilvánosságra hozott sérülékenység kihasználására alkalmas. Szerencsére egyelőre csak a biztonsági kutatók készítettek ilyeneket, feltérképezendő a biztonsági rés okozta lehetséges problémákat. Az exploitok készítése során derül fény arra is, hogy a nyilvánosságra került adatok alapján könnyen és gyorsan készíthetők a DNS szerverekre veszélyes kódok.
A BIND fejlesztői kidolgoztak egy olyan technikát, amivel csökkenthetők, illetve kiiktathatók a biztonsági hibából eredő kockázatok. Ehhez azonban ki kell kapcsolni a BIND-ban a reguláris kifejezések támogatását, amit a config.h állomány manuális módosításával, majd egy újrafordítással lehet megtenni. Ugyanakkor a fejlesztők kiadták a BIND 9.8.4-P2 és 9.9.2-P2 verzióit, amikben alapértelmezetten kikapcsolt a reguláris kifejezések támogatása. Majd hangsúlyozták, hogy a BIND 10-ben a sérülékenység nem található meg, de azt is jelezték, hogy a BIND 10-re való átállás nem minden esetben a legjobb megoldás. Emellett közölték, hogy a BIND Windows-kompatibilis kiadását sem sújtja a fenti rendellenesség.
(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)
Digitalizáció a mindennapokban: hogyan lesz a stratégiai célból napi működés?
A digitális transzformáció sok vállalatnál már nem cél, hanem elvárás – mégis gyakran megreked a tervezőasztalon. A vezetői szinten megfogalmazott ambiciózus tervek nehezen fordulnak át napi működéssé, ha hiányzik a technológiai rugalmasság vagy a belső kohézió.
CIO KUTATÁS
AZ IRÁNYÍTÁS VISSZASZERZÉSE
Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?
Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!
Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak