E-post: salg@linmag.no
8.2.2012 - 10:34
 • Nyheter
 • Om Linux
 • Linuxskolen
 • Spørrespalte
 • Vitsespalte
 • LINUXmagasinet
 • Spill
 
 • WEBSHOP
 • Diskusjonsforum
 • Linker
 
 • For annonsører
 • English
 • Om oss
 
developer.ez.no
www.online4u.no

0

Proxy sårbarhet ved reverse lookup

Forfatter: Ole Øyvind Hove

Publiseringsdato: 15.01.2005 09:00

Hei !

Jeg har et spørsmål som tar utgangspunkt i en svakhet avdekket i Microsoft knyttet til DNS serveren som har gjort det mulig å forlede brukeren til å tro han er inne på en web-side, mens han egentlig er på en annen pga. 'spoofed' url.
Jeg lurer på om det samme kunne skjedd med Linux DNS server

Problemet er beskrevet på http://www.microsoft.com/technet/security/bulletin/MS04-039.mspx og på
http://www.microsoft.com/technet/security/bulletin/MS04-039.mspx.

Svakheten er beskrevet i detalj slik:
"This vulnerability could enable an attacker to spoof trusted Internet content. Users could believe they are accessing trusted Internet content when in reality they are accessing malicious Internet content, for example a malicious Web site. However, an attacker would first have to persuade a user to visit the attacker’s site to attempt to exploit this vulnerability."

Microsoft forklarer årsaken til feilen å være dette:

"Proxy Server 2.0 and ISA Server 2000 cache the results of a reverse lookup and use that result for a forward (normal) lookup. This approach assumes that the hostname received during the reverse lookup is the valid hostname. The first time a reverse lookup is performed for a particular IP address, an attacker could provide a spoofed reverse lookup response for a domain name that they are not authoritative over. If a user then tries to access the resource by using the domain name that is supplied by the attacker, the user’s request would be routed to the incorrect IP address instead of being serviced by the valid content owner. "

Måten de har håndteret problemet på beskrives slik:

"The update removes the vulnerability by modifying the way that the affected products cache reverse lookup results."

Kunne dette ha skjedd med Linux DNS server ?


Hilsen Åshild J.


Hei Åshild,

Utfra det sikkerhetshullet/problemet du beskriver i spørsmålet ditt så kan dette skje med alle typer DNS servere, så lenge de støtter og er satt opp til å gi reverse lookup for en eller flere gitte IPadresser (må konfigureres av admin for DNS-serveren, og er som oftest en ønsket funksjonalitet). Problemet her ligger ikke i DNS serveren, men i at Proxy Serveren til Microsoft blindt stoler på det den får tilbake når den gjør reverse lookup og setter likhetstegn mellom IPadressen brukeren først ønsket å kontakte, og vertsnavnet som en DNS returnerer som reverse lookup. Dette er konseptuelt feil mener jeg, da det sikreste alltid er å først benytte normal lookup uansett. Er en vertsmaskin satt opp med bare reverse lookup tyder det på at boksen ikke er ment for offentlig bruk på internett. Jeg ser da heller ingen grunn til at Proxy sereve skal skal bruke reverse lookup resultat som oppslagspunkt når den søker i cache'n sin. Sannsynligvis er det nettopp dette Microsoft har gjort i uppdateringen sin.




Kommentarliste

Det finnes ingen kommentarer

0







0 0