Rappel : il est URGENT de mettre à jour les serveurs DNS récursifs, si ce n'est pas déjà fait
[C'est un peu hors-sujet, je sais, mais il doit y avoir ici pas mal de
gens qui gèrent des serveurs DNS. Si ce n'est pas le cas, vous pouvez
au moins tester celui de votre FAI. Debian a eu les mises à jour
nécessaires dès le premier jour donc 'aptitude install XXX' suffit,
où XXX est le logiciel utilisé.]
[C'est un rappel d'une information que vous avez certainement eu par
ailleurs mais des indices semblent montrer que certains n'ont pas
encore fait la mise à jour.]
L'annonce détaillée de la faille de sécurité DNS dite « Kaminsky »,
annonce qui était prévue le 7 août, a été faite hier (par accident,
parait-il, « Je nettoyais mon blog et le coup est parti ») :
http://beezari.livejournal.com/141796.html
Désormais, n'importe quel craqueur de la planète sait comment
exploiter cette faille. On peut donc attendre des attaques d'un
instant à l'autre.
Il est donc nécessaire de mettre à jour TRÈS VITE les serveurs qui ne
l'ont pas été (cf. message de l'AFNIC en
<http://operations.afnic.fr/fr/2008/07/09/vuln-rabilit-d-couverte-dans-le-dns-mises-jour-n-cessaires.html>).
Mais, selon cette étude états-unienne :
http://www.hackerfactor.com/blog/index.php?/archives/204-Poor-DNS.html
plusieurs gros opérateurs aux USA sont toujours vulnérables. Une étude
similaire est en cours en France et il est probable que ce n'est pas
meilleur chez nous.
Un seul message à retenir : METTEZ À JOUR. AUJOURD'HUI.
Pour tester votre résolveur, le meilleur outil Web est :
https://www.dns-oarc.net/oarc/services/dnsentropy
et le meilleur outil en ligne de commande est dig :
dig @X.Y.Z.T +short porttest.dns-oarc.net TXT
(Cf. https://www.dns-oarc.net/oarc/services/porttest)
http://www.bortzmeyer.org/faille-dns-empoisonnement.html
Reply to: