Abo
  • Services:
Anzeige

Sicherheitslücke im DNS gefährdet das Internet

Koordinierte Veröffentlichung von Patches, um Gefahren einzuschränken

Fehler im DNS-Protokoll und dessen üblicher Implementierung könnten das Internet ins Wanken bringen, denn zahlreiche DNS-Server sind anfällig für sogenannte DNS-Cache-Poisoning-Angriffe. Damit lässt sich der Cache-Inhalt eines DNS-Servers manipulieren und Surfer auf falsche Webseiten lotsen, was Phishingangriffe begünstigt. In einer koordinierten Aktion haben Anbieter von DNS-Servern am Dienstagabend Korrekturen für ihre Software veröffentlicht.

Das Domain Name System (DNS) setzt Domainaufrufe in IP-Adressen um. Über sogenanntes DNS-Cache-Poisoning ist es Angreifern möglich, gefälschte Informationen in den Cache eines cashenden DNS-Servers zu schleusen, so dass dieser seine Nutzer anschließend auf eine falsche Website, nämlich die des Angreifers schickt.

Anzeige

Um dies zu verhindern, sieht das DNS-Protokoll eine zufällige Transaktions-ID mit 16 Bit vor. Ein Angreifer braucht im Durchschnitt 32.768 Versuche, um eine solche ID zu erraten, doch manche fehlerhafte DNS-Implementierung schränkt die Zahl der möglichen IDs ein, worauf Amit Klein 2007 hinwies (VU#484649, VU#252735, VU#927905). Darüber hinaus haben einige DNS-Implementierungen Schwächen, wenn mehrere gleiche Anfragen von einer Quelle kommen (VU#457875). Mitunter werden die frei wählbaren Ports für Anfragen schon beim Start festgelegt und dann immer wieder verwendet.

Der Sicherheitsexperte Dan Kaminsky fand nun heraus, dass in der Kombination dieser Methoden eine noch größere Gefahr lauert als bisher angenommen. Betroffen sind in erster Linie cachende DNS-Server, warnt das US-CERT.

Das Problem lässt sich kurzfristig einschränken, wenn bei jeder Anfrage der verwendete Quellport zufällig gewählt wird. Ohne Änderungen am DNS-Protokoll kann das Problem aber nicht komplett umgangen werden. Zwar gibt es mit DNSSEC eine Lösung, diese lässt sich aber nicht kurzfristig umsetzen.

Betroffen von der Sicherheitslücke sind unter anderem DNS-Server von Microsoft, Cisco, Juniper und ISC (BIND), die alle zeitgleich Patches veröffentlicht haben, die das Problem zumindest beschränken. Eine Übersicht betroffener Software und des aktuellen Patchstatus gibt es bei US-CERT.


eye home zur Startseite
d3wd 16. Jun 2010

test,test,test Bei Windows funktioniert auch einfach garnix. test…test,test ~d3wd

Sir Jective 09. Jul 2008

LOL ich hab mich grad gefragt, warum ich eigentlich bind installiert hab ... und wann ...

Sir Jective 09. Jul 2008

* ROFLCOPTER!!!einself * Morgen gibt's wahrscheinlich eine Meldung über das "neu...

meta 09. Jul 2008

Wenn man keine Ahnung hat... ;) Trifft hier besonders zu, denn einerseits halte ich dich...


blog@netplanet / 09. Jul 2008

DNS-Poisoning.



Anzeige

Stellenmarkt
  1. VEMA Versicherungs-Makler-Genossenschaft e.G., Karlsruhe
  2. GERMANIA Fluggesellschaft mbH, Berlin
  3. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  4. Schwarz Dienstleistung KG, Neckarsulm


Anzeige
Spiele-Angebote
  1. (-10%) 53,99€
  2. (-78%) 4,44€

Folgen Sie uns
       


  1. Netzneutralität abgeschafft

    Die doppelte Selbstentmachtung der US-Internetaufsicht

  2. Private Division

    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

  3. Klage erfolgreich

    BND darf deutsche Metadaten nicht beliebig sammeln

  4. Neuer Bericht

    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

  5. Übernahme

    Walt Disney kauft Teile von 21st Century Fox

  6. Deep Learning

    Googles Cloud-TPU-Cluster nutzen 4 TByte HBM-Speicher

  7. Leistungsschutzrecht

    EU-Staaten uneins bei Urheberrechtsreform

  8. E-Ticket Deutschland bei der BVG

    Bewegungspunkt am Straßenstrich

  9. Star Wars

    The-Last-Jedi-Update für Battlefront 2 veröffentlicht

  10. Airport mit 802.11n und neuere

    Apple sichert seine WLAN-Router gegen Krack-Angriff ab



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

  1. Re: Warum das Zeug nicht einfach ins Gießwasser...

    Sarkastius | 07:22

  2. Re: Wo kommt die Energie dafür her?

    Sarkastius | 07:21

  3. Re: Das ist das ENDE von Star Citizen

    Ipa | 07:20

  4. Re: Da stellt sich dann doch die Frage...

    Spike79 | 07:16

  5. Re: An alle Experten: Ihr lagt wieder mal falsch!

    Seradest | 07:14


  1. 07:17

  2. 16:10

  3. 15:30

  4. 15:19

  5. 14:50

  6. 14:44

  7. 14:43

  8. 14:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel