Sicherheitslücke im DNS gefährdet das Internet

Koordinierte Veröffentlichung von Patches, um Gefahren einzuschränken. Fehler im DNS-Protokoll und dessen üblicher Implementierung könnten das Internet ins Wanken bringen, denn zahlreiche DNS-Server sind anfällig für sogenannte DNS-Cache-Poisoning-Angriffe. Damit lässt sich der Cache-Inhalt eines DNS-Servers manipulieren und Surfer auf falsche Webseiten lotsen, was Phishingangriffe begünstigt. In einer koordinierten Aktion haben Anbieter von DNS-Servern am Dienstagabend Korrekturen für ihre Software veröffentlicht.

9. Juli 2008 um 09:27 Uhr / Jens Ihlenfeld

18 Kommentare News folgen (öffnet im neuen Fenster)

Das Domain Name System (DNS) setzt Domainaufrufe in IP-Adressen um. Über sogenanntes DNS-Cache-Poisoning ist es Angreifern möglich, gefälschte Informationen in den Cache eines cashenden DNS-Servers zu schleusen, so dass dieser seine Nutzer anschließend auf eine falsche Website, nämlich die des Angreifers schickt.

Um dies zu verhindern, sieht das DNS-Protokoll eine zufällige Transaktions-ID mit 16 Bit vor. Ein Angreifer braucht im Durchschnitt 32.768 Versuche, um eine solche ID zu erraten, doch manche fehlerhafte DNS-Implementierung schränkt die Zahl der möglichen IDs ein, worauf Amit Klein 2007 hinwies ( VU#484649(öffnet im neuen Fenster) , VU#252735(öffnet im neuen Fenster) , VU#927905(öffnet im neuen Fenster) ). Darüber hinaus haben einige DNS-Implementierungen Schwächen, wenn mehrere gleiche Anfragen von einer Quelle kommen ( VU#457875(öffnet im neuen Fenster) ). Mitunter werden die frei wählbaren Ports für Anfragen schon beim Start festgelegt und dann immer wieder verwendet.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Leitung – Amt für Digitalisierung und IT (Wirtschaftsinformatik, angewandte Informatik oder Verwaltungsinformatik) Landkreis Rotenburg Haupt- und Personalamt, Rotenburg (Wümme),Homeoffice (öffnet im neuen Fenster)

Full-Stack DevOps Engineer & Developer (m/f/d) Max-Planck-Institut für Innovation und Wettbewerb, München (öffnet im neuen Fenster)

Manager IT-Revision (w/m/d) freenet AG, Hamburg (öffnet im neuen Fenster)

Linux System Administrator / DevOps Engineer (m/w/d) NetCologne IT Services GmbH, Köln (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) alstria advisors GmbH, Hamburg (öffnet im neuen Fenster)

Product Owner Data and Analytics Platform (m/w/d) Verlag C.H.BECK, München (öffnet im neuen Fenster)

Teamleiter IT-Infrastruktur (m/w/d) GRIMME Landmaschinenfabrik SE & Co. KG, Damme (öffnet im neuen Fenster)

Ausbildung FachinformatikerIn- Systemintegration (m/w/d) Werkstatt Lebenshilfe Bergisches Land GmbH, Köln (öffnet im neuen Fenster)

Der Sicherheitsexperte Dan Kaminsky fand nun heraus, dass in der Kombination dieser Methoden eine noch größere Gefahr lauert als bisher angenommen. Betroffen sind in erster Linie cachende DNS-Server, warnt das US-CERT(öffnet im neuen Fenster) .

Das Problem lässt sich kurzfristig einschränken, wenn bei jeder Anfrage der verwendete Quellport zufällig gewählt wird. Ohne Änderungen am DNS-Protokoll kann das Problem aber nicht komplett umgangen werden. Zwar gibt es mit DNSSEC eine Lösung, diese lässt sich aber nicht kurzfristig umsetzen.

Betroffen von der Sicherheitslücke sind unter anderem DNS-Server von Microsoft, Cisco, Juniper und ISC (BIND), die alle zeitgleich Patches veröffentlicht haben, die das Problem zumindest beschränken. Eine Übersicht(öffnet im neuen Fenster) betroffener Software und des aktuellen Patchstatus gibt es bei US-CERT.

Zur Startseite 18 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen