Original-URL des Artikels: https://www.golem.de/0807/60935.html    Veröffentlicht: 09.07.2008 09:27    Kurz-URL: https://glm.io/60935

Sicherheitslücke im DNS gefährdet das Internet

Koordinierte Veröffentlichung von Patches, um Gefahren einzuschränken

Fehler im DNS-Protokoll und dessen üblicher Implementierung könnten das Internet ins Wanken bringen, denn zahlreiche DNS-Server sind anfällig für sogenannte DNS-Cache-Poisoning-Angriffe. Damit lässt sich der Cache-Inhalt eines DNS-Servers manipulieren und Surfer auf falsche Webseiten lotsen, was Phishingangriffe begünstigt. In einer koordinierten Aktion haben Anbieter von DNS-Servern am Dienstagabend Korrekturen für ihre Software veröffentlicht.

Das Domain Name System (DNS) setzt Domainaufrufe in IP-Adressen um. Über sogenanntes DNS-Cache-Poisoning ist es Angreifern möglich, gefälschte Informationen in den Cache eines cashenden DNS-Servers zu schleusen, so dass dieser seine Nutzer anschließend auf eine falsche Website, nämlich die des Angreifers schickt.

Um dies zu verhindern, sieht das DNS-Protokoll eine zufällige Transaktions-ID mit 16 Bit vor. Ein Angreifer braucht im Durchschnitt 32.768 Versuche, um eine solche ID zu erraten, doch manche fehlerhafte DNS-Implementierung schränkt die Zahl der möglichen IDs ein, worauf Amit Klein 2007 hinwies (VU#484649, VU#252735, VU#927905). Darüber hinaus haben einige DNS-Implementierungen Schwächen, wenn mehrere gleiche Anfragen von einer Quelle kommen (VU#457875). Mitunter werden die frei wählbaren Ports für Anfragen schon beim Start festgelegt und dann immer wieder verwendet.

Der Sicherheitsexperte Dan Kaminsky fand nun heraus, dass in der Kombination dieser Methoden eine noch größere Gefahr lauert als bisher angenommen. Betroffen sind in erster Linie cachende DNS-Server, warnt das US-CERT.

Das Problem lässt sich kurzfristig einschränken, wenn bei jeder Anfrage der verwendete Quellport zufällig gewählt wird. Ohne Änderungen am DNS-Protokoll kann das Problem aber nicht komplett umgangen werden. Zwar gibt es mit DNSSEC eine Lösung, diese lässt sich aber nicht kurzfristig umsetzen.

Betroffen von der Sicherheitslücke sind unter anderem DNS-Server von Microsoft, Cisco, Juniper und ISC (BIND), die alle zeitgleich Patches veröffentlicht haben, die das Problem zumindest beschränken. Eine Übersicht betroffener Software und des aktuellen Patchstatus gibt es bei US-CERT.  (ji)


Verwandte Artikel:
BSI-Richtlinie: Der streng geheime Streit über die Routersicherheit   
(25.01.2018, https://glm.io/132363 )
Stiftung Warentest: Die meisten Überwachungskameras haben Sicherheitsmängel   
(28.09.2017, https://glm.io/130343 )
Internet of Things: CDU-Politiker fordert Umtauschrecht für gehackte Geräte   
(21.06.2017, https://glm.io/128508 )
DDoS-Angriffe: Koalition erlaubt Analyse und Blockade von Botnetz-Traffic   
(21.04.2017, https://glm.io/127421 )
Warnung vor Schwachstellen im DNS-Protokoll   
(10.11.2004, https://glm.io/34635 )

Links zum Artikel:
US-CERT - Multiple DNS implementations vulnerable to cache poisoning (.org): http://www.kb.cert.org/vuls/id/800113

© 1997–2019 Golem.de, https://www.golem.de/