一位安全研究员最近在互联网核心域名系统(DNS)协议中发现了一个未知的漏洞,他在周四警告IT经理们,希望在未来的几个月里能有更多的安全修复措施来缓解这个问题。
在今早的新闻发布会上丹Kaminsky是安全公司Ioactive Inc.的研究员表示,最近由多个供应商发出的补丁以响应他的错误发现是最好的停止测量旨在防止对DNS基础设施的立即攻击。
但卡明斯基计划在即将到来的黑帽安全会议上披露该漏洞的细节,随着更多的研究人员可能尝试和利用它,将需要一个更永久的修复。
卡明斯基说:“作为一个全球社区,我们会想出解决这个问题的办法,届时将会有另一轮补丁上线。”几天前发布的当前安全更新旨在让漏洞更难被利用,同时也确保潜在的攻击者无法通过对补丁进行逆向工程来发现漏洞。
STOPGAP补丁在其时间内适当。“我们需要找到一种方法来停止出血,而我们弄清楚在这里做什么。这个修复让我们离开了急诊区,”康斯基说,在今天早上的新闻发布会上与Computerworld发言。“我认为在披露错误后会有讨论,以便为解决这类缺陷的更全面的机制。”他补充说,他无法讨论下一代补丁所做的一切,直到公开披露的错误。
他指出,已经发布的补丁似乎正在运作,因为只有没有人利用这种脆弱性,尽管专注于它的前所未有的注意力。然而,他说:“有人真的很接近,谁被要求不公开透露他们的研究,直到他揭示黑帽子的全部细节。
一统天下
今年早些时候,卡明斯基发现了DNS协议漏洞,10天前,在一次罕见的同步安全更新中,包括Microsoft Corp.,思科系统公司,而且美国计算机应急准备小组(美国证书)。由于其明显的严重性以及它几乎影响了每个单个域名服务器,它已经受到了广泛的关注,并且它几乎影响了每个域名服务器,可以在Internet上解析IP地址。
DNS服务器负责将所有互联网流量路由到正确的目的地。根据安全研究,卡明斯基发现的所谓缓存中毒漏洞可以让攻击者将Web流量和电子邮件重定向到他们控制下的系统。该缺陷存在于DNS协议级别,影响多个供应商的许多产品。
根据Kaminsky的说法,在DNS协议用来确定对DNS查询的响应是否合法的事务识别过程中存在一个弱点。根据Kaminsky的说法,DNS消息包含了一些被认为是随机的识别号码,但问题是目前只有大约65000个不同的值被用作标识符。他说,实际上,为数据包分配标识符的过程并不是特别随机,可以猜测。
一个咨询US-CERT发布的报告称,该漏洞可能使域名服务器容易受到攻击,伪造数据被引入系统。报告说,这类攻击在概念上并不新鲜,并指出过去有几位安全研究人员曾描述过类似卡明斯基发现的缓存中毒漏洞。US-CERT的报告称,这些漏洞基本上为攻击者提供了一条可预见的欺骗DNS流量的途径,同时还提供了“极其有效的利用技术”。
各种供应商发出的补丁采用所谓的“端口随机化”技术,该技术旨在使任何人猜测DNS消息ID的许多大小都更加困难,以便能够欺骗这些消息。
拨打争吵
卡明斯基今天淡化了一些早期的怀疑论表达一些研究人员关于这个问题的严重性。他强调,与某些人可能相信的相反,他发现的脆弱性确实是新的 - 并且前所未有的严重性。
“这是一个新的缺陷,它改变了规则,”卡明斯基今天警告说。“我们多年来就知道,这种交易ID规模一直困扰着我们。我们陷入困境的原因很快就会变得显而易见。这绝对是一种新的东西,非常可怕,”他说,同时重申了早些时候的请求,请IT经理们立即给他们的域名服务器打补丁。
他补充说,一些怀疑源于这样一个事实,即人们被要求相信这个缺陷是非常严重的,而到目前为止还没有得到任何证据。“我知道这很不寻常。但如果这件事没有爆表,我也会无缘无故地引起大量媒体关注,”他补充道。
域名解析、IP地址分配和其他服务提供商Infoblox的架构副总裁、DNS专家蟋蟀刘(Cricket Liu)赞同卡明斯基的警告。在今天的新闻发布会后,刘先生在接受《计算机世界》采访时表示,当前这轮补丁争取了一些时间,但今后还需要更多的永久性补丁。
他指出,这不是第一次DNS漏洞问题已经到来。事实上,第一个缓存中毒攻击是迄今为止的1997年的追溯到1997年,并利用了DNS的广泛使用的伯克利互联网名称域(绑定)实施中的实施缺陷。最近,在开放BSD的伪随机数发生器(PRNG)功能中发现了类似的缓存中毒缺陷。刘说,每次都会发出问题,“我们认为我们以更好的形状更好。”“然后丹(Kaminsky)出现了他的虫子,”他说。
他重申了Kaminksy的呼吁,要求公司立即给他们的DNS服务器打补丁,以避免他们的互联网流量和电子邮件被劫持的风险,并补充说,这种漏洞可能导致的攻击比许多人认为的更容易发动。
了解更多关于这个主题的信息
这个故事,“DNS漏洞发现者说需要更多的永久修复”最初是由Computerworld. .