• IT-Karriere:
  • Services:

Sicherheitslücke im DNS gefährdet das Internet

Koordinierte Veröffentlichung von Patches, um Gefahren einzuschränken

Fehler im DNS-Protokoll und dessen üblicher Implementierung könnten das Internet ins Wanken bringen, denn zahlreiche DNS-Server sind anfällig für sogenannte DNS-Cache-Poisoning-Angriffe. Damit lässt sich der Cache-Inhalt eines DNS-Servers manipulieren und Surfer auf falsche Webseiten lotsen, was Phishingangriffe begünstigt. In einer koordinierten Aktion haben Anbieter von DNS-Servern am Dienstagabend Korrekturen für ihre Software veröffentlicht.

Artikel veröffentlicht am ,

Das Domain Name System (DNS) setzt Domainaufrufe in IP-Adressen um. Über sogenanntes DNS-Cache-Poisoning ist es Angreifern möglich, gefälschte Informationen in den Cache eines cashenden DNS-Servers zu schleusen, so dass dieser seine Nutzer anschließend auf eine falsche Website, nämlich die des Angreifers schickt.

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler bei Köln
  2. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, verschiedene Standorte

Um dies zu verhindern, sieht das DNS-Protokoll eine zufällige Transaktions-ID mit 16 Bit vor. Ein Angreifer braucht im Durchschnitt 32.768 Versuche, um eine solche ID zu erraten, doch manche fehlerhafte DNS-Implementierung schränkt die Zahl der möglichen IDs ein, worauf Amit Klein 2007 hinwies (VU#484649, VU#252735, VU#927905). Darüber hinaus haben einige DNS-Implementierungen Schwächen, wenn mehrere gleiche Anfragen von einer Quelle kommen (VU#457875). Mitunter werden die frei wählbaren Ports für Anfragen schon beim Start festgelegt und dann immer wieder verwendet.

Der Sicherheitsexperte Dan Kaminsky fand nun heraus, dass in der Kombination dieser Methoden eine noch größere Gefahr lauert als bisher angenommen. Betroffen sind in erster Linie cachende DNS-Server, warnt das US-CERT.

Das Problem lässt sich kurzfristig einschränken, wenn bei jeder Anfrage der verwendete Quellport zufällig gewählt wird. Ohne Änderungen am DNS-Protokoll kann das Problem aber nicht komplett umgangen werden. Zwar gibt es mit DNSSEC eine Lösung, diese lässt sich aber nicht kurzfristig umsetzen.

Betroffen von der Sicherheitslücke sind unter anderem DNS-Server von Microsoft, Cisco, Juniper und ISC (BIND), die alle zeitgleich Patches veröffentlicht haben, die das Problem zumindest beschränken. Eine Übersicht betroffener Software und des aktuellen Patchstatus gibt es bei US-CERT.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Samsung Portable SSD T5 für 149€ und TP-Link M7350 für 59,99€ inkl...
  2. (heute u. a. Acer H6535i FHD-Beamer für 449€ statt 568,98€ im Vergleich, Lenovo Smart Display...
  3. (aktuell u. a.Corsair M65 RGB Elite als neuwertiger Outlet-Artikel für 29,99€ + Versand)
  4. 249€ (Vergleichspreis 277,99€)

d3wd 16. Jun 2010

test,test,test Bei Windows funktioniert auch einfach garnix. test…test,test ~d3wd

Sir Jective 09. Jul 2008

LOL ich hab mich grad gefragt, warum ich eigentlich bind installiert hab ... und wann ...

Sir Jective 09. Jul 2008

* ROFLCOPTER!!!einself * Morgen gibt's wahrscheinlich eine Meldung über das "neu...

meta 09. Jul 2008

Wenn man keine Ahnung hat... ;) Trifft hier besonders zu, denn einerseits halte ich dich...


Folgen Sie uns
       


Kuschelroboter Lovot angesehen (CES 2020)

Lovot ist ein kleiner Roboter, der bei seinem Besitzer für gute Stimmung sorgen soll. Er lässt sich streicheln und reagiert mit freudigen Geräuschen.

Kuschelroboter Lovot angesehen (CES 2020) Video aufrufen
Starsky Robotics: Woran ein Startup für autonome Lkw gescheitert ist
Starsky Robotics
Woran ein Startup für autonome Lkw gescheitert ist

Der Gründer eines Startups für selbstfahrende Lkw hält die Technik noch lange nicht für praxistauglich.
Ein Bericht von Friedhelm Greis

  1. Neue Prioritäten Daimler setzt beim autonomen Fahren zuerst auf Lkw
  2. Autonomes Fahren AutoX und Fiat planen autonome Taxis in China
  3. Human Drive Autonomer Nissan Leaf fährt durch Großbritannien

Next-Gen: Welche neue Konsole darf's denn sein?
Next-Gen
Welche neue Konsole darf's denn sein?

Playstation 5 oder Xbox Series X: Welche Konsole besser wird, wissen wir auch noch nicht. Grundüberlegungen zur Hardware und den Ökosystemen.
Ein IMHO von Peter Steinlechner

  1. Elektroschrott Kauft keine kleinen Konsolen!
  2. IMHO Porsche prescht beim Preis übers Ziel hinaus

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad

    •  /