quinta-feira, julho 24, 2008

O gato saiu do saco.

Se voce não ouviu falar sobre a vulnerabilidade do DNS nem precisa continuar lendo :)

Apenas transcrevo um e-mail do Frederico Neves, no GTER e GTS:

----------------------------------------------------------------------------
-----Mensagem original-----
De: gts-l-bounces@eng.registro.br [mailto:gts-l-bounces@eng.registro.br] Em nome de Frederico A C Neves
Enviada em: quinta-feira, 24 de julho de 2008 16:42
Para: GTER; GTS
Assunto: [GTS-L] Servidores DNS recursivos - ATUALIZE JA - CERT:VU#800113

Senhores,

Já se passaram 15 dias [1] do anúncio inicial e o número de servidores recursivos que consultam os servidores autoritativos do .br ainda vulneráveis é enorme.

Com base em 3.2x10^8 consultas recebidas entre 23/7/2008 10h e
24/7/2008 10h, temos 271k servidores únicos com mais de 30 consultas neste intervalo, 74.1% destes servidores são vulneráveis.

Entre os de maior tráfego (> 10k queries), temos 3.8k servidores, destes 51.2% são vulneráveis e provavelmente os principais alvos uma vez que são servidores públicos em redes de acesso.

Se você é responsável pela operação de um destes servidores, ATUALIZE JÁ conforme o anúncio.

Já existem exploits públicos para o problema e versão mais otimizadas estão disponíveis privadamente, a não atualização certamente trará consequências desagradáveis muito em breve para quem negligenciar estes avisos.

Verifique também a configuração de suas zonas autoritativas. Domínios com poucos servidores autoritativos e com TTLs reduzidos nos registros NS são mais vulneráveis.

É sempre bom lembrar que este ataque é facilitado pelo não respeito a
BCP38 e pela presença de servidores DNS recursivos abertos ao público em geral [2].

Favor repassar esta informação,

Fred

[1] http://eng.registro.br/pipermail/gter/2008-July/019316.html
[2] http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
_______________________________________________
GTS-L mailing list GTS-L@eng.registro.br https://eng.registro.br/mailman/listinfo/gts-l

----------------------------------------------------------------------------------------------

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.

Assinar: Postar comentários (Atom)