1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
|
<define-tag description>DNS-cacheforgiftning</define-tag>
<define-tag moreinfo>
<p>Dan Kaminsky opdagede at medfødte egenskaber i DNS-protokollen kunne føre til
effektive DNS-cacheforgiftningsangreb. Blandt andre kunne succesrige angreb
føre til fejldirigeret webtrafik og e-mail-omdirigering.</p>
<p>Denne opdatering ændrer Debians BIND 9-pakker for at implementere de
anbefalede modforholdsregler: Randomnisering af UDP-forespørgselskildeport.
Ændringen forøger størrelsen på det område, en angriber skal gætte værdier i,
på en bagudkompatibel måde og gør succesrige angreb betydeligt sværere.</p>
<p>Bemærk at denne sikkerhedsopdatering ændrer BINDs netværksvirkemåde på en
fundamental måde, og følgende trin anbefales for at sikre en problemfri
opgradering.</p>
<p>1. Forvis dig om, at din netværksopsætning er kompatibel med
kildeportsrandomnisering. Hvis du beskytter din DNS-opløser (<q>resolver</q>)
med et <q>stateless</q> pakkefilter, kan det være nødvendigt for dig at sikre,
at ingen ikke-DNS-tjenester lytter til UDP-portene mellem 1024 og 65535, samt
at åbne for det i pakkefilteret. Pakkefiltre, der er eksempelvis er baseret
på etchs Linux 2.6.18-kerne, understøtter kun stateless filtrering af
IPv6-pakker, og er derfor ramt af dette ekstra problem. (Hvis du anvender IPv4
med iptables og ESTABLISHED-regler, vil netværksændringer formentlig ikke være
nødvendige.)</p>
<p>2. Installér BIND 9-opgraderingen ved hjælp af <q>apt-get update</q>
efterfulgt af <q>apt-get install bind9</q>. Kontroller at processen named er
blevet genstartet og svarer på rekursive forespørgsler. (Hvis alle
forespørgsler giver timeouts, er det en indikation af at netværksændringer er
påkrævede; se trin et.)</p>
<p>3. Kontrollér at kildeportrandomnisering er aktiveret. Forvis dig om at
filen /var/log/daemon.log ikke indeholder meddelelser med følgende udseende</p>
<pre>named[6106]: /etc/bind/named.conf.options:28: using specific query-source port suppresses port randomization and can be insecure.</pre>
<p>lige efter meddelelserne <q>listening on IPv6 interface</q> og <q>listening
on IPv4 interface</q>, logget af BIND ved programstart. Hvis disse meddelelser
er til stede, bør du fjerne den angivne linje fra opsætningen eller erstatte
portnumre i dem med <kbd>*</kbd>-tegnet (udskift fx <q>port 53</q> med
<q>port *</q>).</p>
<p>For yderligere vished, brug tcpdump eller et andet
netværksovervågningsværktøj for at undersøge om der er skiftende UDP-kildeporte.
Hvis der er en NAT-enhed foran din DNS-opløser, skal du sikre dig at den ikke
annullerer effekten af kildeportsrandomniseringen.</p>
<p>4. Hvis du ikke kan aktivere kildeportsrandomnisering, så overvej at opsætte
BIND 9 til at sende forespørgsler videre til en DNS-opløser, der kan, eventuelt
over en VPN så som OpenVPN, for at oprette det nødvendige betroede netværkslink.
(Brug BIND's forward-only-tilstand i denne situation.)</p>
<p>Andre caching-opløsere, der distribueres af Debian (PowerDNS, MaraDNS,
Unbound) anvender allerede kildeportsrandomnisering, og det er ikke nødvendigt
at opdatere pakkerne. BIND 9.5 op til og med version 1:9.5.0.dfsg-4
implementerer kun en svag form for kildeportsrandomnisering og skal derfor
også opdateres. For oplysninger om BIND 8 se <a href="dsa-1604">DSA-1604-1</a>,
og for status på libcs stub-opløser se <a href="dsa-1605">DSA-1605-1</a>.</p>
<p>De opdaterede bind9-pakker indeholder ændringer oprindelig planlagt til den
næste stabile punktopdatering, deriblandt den ændrede IP-adresse for
L.ROOT-SERVERS.NET (Debian-fejl nummer <a href="https://bugs.debian.org/449148">\
449148</a>).</p>
<p>I den stabile distribution (etch), er dette problem rettet i
version 9.3.4-2etch3.</p>
<p>I den ustabile distribution (sid), vil dette problem snart blive rettet.</p>
<p>Vi anbefaler at du opgraderer din bind9-pakke.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1603.data"
#use wml::debian::translation-check translation="0c51b8ff34c17868bd2f86ac91fef7abc581e1e9" mindelta="1"
|
