Sicherheitslücke im DNS gefährdet das Internet

Koordinierte Veröffentlichung von Patches, um Gefahren einzuschränken

Fehler im DNS-Protokoll und dessen üblicher Implementierung könnten das Internet ins Wanken bringen, denn zahlreiche DNS-Server sind anfällig für sogenannte DNS-Cache-Poisoning-Angriffe. Damit lässt sich der Cache-Inhalt eines DNS-Servers manipulieren und Surfer auf falsche Webseiten lotsen, was Phishingangriffe begünstigt. In einer koordinierten Aktion haben Anbieter von DNS-Servern am Dienstagabend Korrekturen für ihre Software veröffentlicht.

Anzeige

Das Domain Name System (DNS) setzt Domainaufrufe in IP-Adressen um. Über sogenanntes DNS-Cache-Poisoning ist es Angreifern möglich, gefälschte Informationen in den Cache eines cashenden DNS-Servers zu schleusen, so dass dieser seine Nutzer anschließend auf eine falsche Website, nämlich die des Angreifers schickt.

Um dies zu verhindern, sieht das DNS-Protokoll eine zufällige Transaktions-ID mit 16 Bit vor. Ein Angreifer braucht im Durchschnitt 32.768 Versuche, um eine solche ID zu erraten, doch manche fehlerhafte DNS-Implementierung schränkt die Zahl der möglichen IDs ein, worauf Amit Klein 2007 hinwies (VU#484649, VU#252735, VU#927905). Darüber hinaus haben einige DNS-Implementierungen Schwächen, wenn mehrere gleiche Anfragen von einer Quelle kommen (VU#457875). Mitunter werden die frei wählbaren Ports für Anfragen schon beim Start festgelegt und dann immer wieder verwendet.

Der Sicherheitsexperte Dan Kaminsky fand nun heraus, dass in der Kombination dieser Methoden eine noch größere Gefahr lauert als bisher angenommen. Betroffen sind in erster Linie cachende DNS-Server, warnt das US-CERT.

Das Problem lässt sich kurzfristig einschränken, wenn bei jeder Anfrage der verwendete Quellport zufällig gewählt wird. Ohne Änderungen am DNS-Protokoll kann das Problem aber nicht komplett umgangen werden. Zwar gibt es mit DNSSEC eine Lösung, diese lässt sich aber nicht kurzfristig umsetzen.

Betroffen von der Sicherheitslücke sind unter anderem DNS-Server von Microsoft, Cisco, Juniper und ISC (BIND), die alle zeitgleich Patches veröffentlicht haben, die das Problem zumindest beschränken. Eine Übersicht betroffener Software und des aktuellen Patchstatus gibt es bei US-CERT.

Kommentarübersicht
Re: Die Meldung ist garnicht SCH1echt!
d3wd 16. Jun 2010

test,test,test Bei Windows funktioniert auch einfach garnix. test…test,test ~d3wd

Re: Die Meldung ist garnicht echt!
Sajeth 13. Mai 2009

Das liegt nur an diesem verdammten Lunix.

Re: Debian Updatewelle
Sir Jective 09. Jul 2008

LOL ich hab mich grad gefragt, warum ich eigentlich bind installiert hab ... und wann ...

Re: WOW.... nach rund 20 Jahren
Sir Jective 09. Jul 2008

* ROFLCOPTER!!!einself * Morgen gibt's wahrscheinlich eine Meldung über das "neu...

Re: Die Meldung ist garnicht echt!
Paradoxum 09. Jul 2008

Hast du dir fein ausgedacht. <-selbstdenkendes Wesen im Gegensatz zu gewissen Leuten mit...

Kommentieren

Trackbacks

blog@netplanet / 09. Jul 2008

DNS-Poisoning.

Anzeige
Stellenmarkt
  1. Abteilungsleiter (m/w) IT-Infrastruktur und IT-Services
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Technical Consultant Mobile Anwendungen (m/w)
    BayWa AG, München
  3. Teamleiter Entwicklung / Applikation (m/w)
    über Steinbach & Partner Executive Consultants, Süddeutschland
  4. Produktsoftwareentwickler (m/w)
    E.G.O. Elektro-Gerätebau-GmbH, Oberderdingen

 

Detailsuche

Folgen Sie uns
       
Videos
Anonymous - Was ist Acta Anonymous - Was ist Acta
Meistgelesen
  1. Paypal

    Nutzern von Kino.to drohen Strafverfahren
  2. Desktop-Roadmap

    Mozilla hat mit Firefox 2012 viel vor
  3. Spielebranche

    Diskussion über "stinkende Gamer"
  4. Gerüchte

    Apple will alle Notebooks dünner machen
  5. Tilt-Shift-Effekt

    Generator für Spielzeuglandschaften
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 267 | letzter Beitrag 17:15 Uhr

  2. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 165 | letzter Beitrag 17:49 Uhr

  3. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 161 | letzter Beitrag 17:54 Uhr

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 114 | letzter Beitrag 17:54 Uhr

  5. Acta-Demos: Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    Kommentare: 96 | letzter Beitrag 16:40 Uhr

Mehr

Ticker
  1. Gnome

    Neue Spezifikation für Fensterlayout

  2. Samsung Galaxy Tab 2

    7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

  3. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab

  4. Appmenu Runner

    Head-Up Display auch in KDE

  5. Galaxy S2 mit Android 2.3.6

    Update wegen Abstürzen zurückgezogen?

  6. Fair Labor Association

    Apple lässt Foxconn überprüfen

  7. 802.11ac

    Broadcom will Chips für Gigabit-WLAN noch 2012 liefern

  8. Nutzer in Deutschland

    Immer mehr Onlinezeit im sozialen Netzwerk

  9. Cash Music

    Freie Plattform zur Selbstvermarktung für Musiker

  10. Test Soul Calibur 5

    Auch Meuchelmörder prügeln gern

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Security
Nach Hackerangriff: Polizei-Webserver in Nordrhein-Westfalen seit 12 Tagen down
Nach Hackerangriff
Polizei-Webserver in Nordrhein-Westfalen seit 12 Tagen down

Die Polizei in Nordrhein-Westfalen bekommt die Folgen eines schweren Hackerangriffs nicht in den Griff, der zuerst verheimlicht wurde. Seit zwölf Tagen sind die Webserver komplett abgeschaltet. Ein Ende der Offlinezeit ist nicht absehbar.

  1. Evilshadow Microsoft Store in Indien gehackt
  2. Windows und Office 21 Sicherheitslücken in Microsofts Software
  3. Accenture-Studie Fast 70 Prozent nutzen eigene Rechner am Arbeitsplatz
Club-Mate
Club-Mate: Hack fürs Hirn
Club-Mate
Hack fürs Hirn

Es sprudelt, schäumt und schmeckt - nicht jedem. Macht nichts: Club-Mate ist Kult und aus der Hackerkultur nicht mehr wegzudenken. Wie es dazu kommen konnte, erzählt das Buch Hackerbrause.

  1. Retro-Gnome Cinnamon 1.2 stabilisiert API und Desktop
  2. Linux Mint Cinnamon wird wohl Standarddesktop
  3. 28C3 Hacker hinter feindlichen Linien
Paypal
Paypal-Konkurrent: Dwolla will seine Dienste weltweit anbieten
Paypal-Konkurrent
Dwolla will seine Dienste weltweit anbieten

Dwolla will seine Zahlungsabwicklungen künftig nicht nur auf die USA beschränken. Das Startup, das mit Paypal, Visa und den Banken konkurriert, denkt über ein internationales Angebot nach, das Überweisungen egal in welcher Höhe für nur 25 US-Cent erlaubt.

  1. Paypal-Alternative Dwolla erhält 5 Millionen Dollar für "abgefahrenes Zeug"
  2. V.me Visa öffnet seinen Paypal-Konkurrenten für Entwickler
Forumsbeiträge »
  1. Spielebranche Diskussion über "stinkende Gamer"

    Re: Die Branche hat ganz andere Probleme...

    Mops | 17:56

  2. Gerüchte Apple will alle Notebooks dünner machen

    Re: Traurig ...

    gollumm | 17:55

  3. Fair Labor Association Apple lässt Foxconn überprüfen

    Re: Gehälter-Quatsch

    ChMu | 17:54

  4. Klage gegen Samsung Apple will Verkauf des Galaxy Nexus verhindern

    imagine

    Missingno. | 17:54

  5. IBM-Mainframe Nasa schaltet letzten Großrechner ab

    Was für eien Verschwendung?

    fiesemoepps | 17:54

Ticker »
  1. Gnome Neue Spezifikation für Fensterlayout

    17:53

  2. Samsung Galaxy Tab 2 7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

    17:26

  3. IBM-Mainframe Nasa schaltet letzten Großrechner ab

    16:49

  4. Appmenu Runner Head-Up Display auch in KDE

    16:25

  5. Galaxy S2 mit Android 2.3.6 Update wegen Abstürzen zurückgezogen?

    16:20

  6. Fair Labor Association Apple lässt Foxconn überprüfen

    15:36

  7. 802.11ac Broadcom will Chips für Gigabit-WLAN noch 2012 liefern

    15:34

  8. Nutzer in Deutschland Immer mehr Onlinezeit im sozialen Netzwerk

    15:10

Zum Artikel