Sicherheitslücke im DNS gefährdet das Internet

Das Domain Name System (DNS) setzt Domainaufrufe in IP-Adressen um. Über sogenanntes DNS-Cache-Poisoning ist es Angreifern möglich, gefälschte Informationen in den Cache eines cashenden DNS-Servers zu schleusen, so dass dieser seine Nutzer anschließend auf eine falsche Website, nämlich die des Angreifers schickt.

Um dies zu verhindern, sieht das DNS-Protokoll eine zufällige Transaktions-ID mit 16 Bit vor. Ein Angreifer braucht im Durchschnitt 32.768 Versuche, um eine solche ID zu erraten, doch manche fehlerhafte DNS-Implementierung schränkt die Zahl der möglichen IDs ein, worauf Amit Klein 2007 hinwies (VU#484649, VU#252735, VU#927905). Darüber hinaus haben einige DNS-Implementierungen Schwächen, wenn mehrere gleiche Anfragen von einer Quelle kommen (VU#457875). Mitunter werden die frei wählbaren Ports für Anfragen schon beim Start festgelegt und dann immer wieder verwendet.

Der Sicherheitsexperte Dan Kaminsky fand nun heraus, dass in der Kombination dieser Methoden eine noch größere Gefahr lauert als bisher angenommen. Betroffen sind in erster Linie cachende DNS-Server, warnt das US-CERT.

Das Problem lässt sich kurzfristig einschränken, wenn bei jeder Anfrage der verwendete Quellport zufällig gewählt wird. Ohne Änderungen am DNS-Protokoll kann das Problem aber nicht komplett umgangen werden. Zwar gibt es mit DNSSEC eine Lösung, diese lässt sich aber nicht kurzfristig umsetzen.

Betroffen von der Sicherheitslücke sind unter anderem DNS-Server von Microsoft, Cisco, Juniper und ISC (BIND), die alle zeitgleich Patches veröffentlicht haben, die das Problem zumindest beschränken. Eine Übersicht betroffener Software und des aktuellen Patchstatus gibt es bei US-CERT.