Les fournisseurs de pare-feu se bousculent pour corriger le problème DNS

Près d'un mois après le premier signalement d'une faille critique dans le système de noms de domaine Internet, les fournisseurs de certains des pare-feu les plus utilisés se bousculent pour résoudre un problème qui peut essentiellement annuler une partie des correctifs. > La faille DNS affecte les logiciels serveur de nombreux fournisseurs, notamment Microsoft, Cisco Systems et Internet Systems Consortium.

Certains pare-feu annulent une fonction de randomisation de port source introduite dans les correctifs DNS. Bien que ce changement ne vienne pas complètement à bout du patch DNS, il pourrait permettre aux attaquants de déclencher une attaque d'empoisonnement du cache contre le serveur DNS, disent les experts en sécurité.

[Plus d'infos: backup]

Cela pourrait conduire à des attaques de phishing pratiquement indétectables contre les utilisateurs de ces serveurs DNS

Firewalls qui effectuent la traduction d'adresse IP (Internet Protocol) - convertir les adresses IP utilisées par les ordinateurs sur leurs réseaux internes en adresses IP différentes Les spécialistes de la sécurité affirment que la portée du problème a d'abord surpris certains experts du DNS, a déclaré Dan Kaminsky, le chercheur d'IOActive qui a découvert le virus. le bug DNS. "C'est dans une certaine mesure notre faute", at-il déclaré dans une interview par e-mail. "Nous avons sous-estimé le nombre de pare-feu qui ont été déployés devant des serveurs DNS."

"Cisco, Juniper, Citrix et plusieurs autres fournisseurs de pare-feu se sont démenés pour mettre à jour leur équipement".

Ces fournisseurs annoncent que des semaines pourraient s'écouler avant que tous les produits ne soient corrigés.

Mercredi, Cisco a mis à jour son avis de sécurité sur le problème DNS afin de conseiller les clients sur la façon de gérer le problème. Équipe d'intervention en cas d'incident de sécurité du produit. Le problème affecte les clients Cisco qui utilisent le pare-feu pour effectuer la traduction d'adresse de port (PAT), a-t-il déclaré. "Si vous avez un pare-feu PAT, la meilleure chose à faire est de parcourir notre document, de comprendre comment notre réseau est configuré, et si vous avez besoin du correctif fourni, installez le correctif."

Selon Kaminsky, les administrateurs peuvent transmettre leurs recherches DNS à des serveurs dont les adresses de port ne sont pas traduites ou simplement reconfigurer le pare-feu.

Juniper Networks prévoit de proposer une option de port source aléatoire pour ses produits, par e-mail.

Cependant, tous les fournisseurs de pare-feu ne sont pas concernés. Check Point Software, par exemple, dit que ses pare-feu n'ont pas ce problème.

La faille DNS de Kaminsky affecte une telle variété de produits qu'il n'est pas surprenant qu'il y ait eu quelques problèmes dans le processus de patch. Plus tôt cette semaine, les experts DNS ont signalé que le correctif qu'ils avaient créé ralentissait les performances sur certains serveurs à fort trafic, ceux qui étaient touchés par plus de 10 000 requêtes par seconde. Vendredi, le fournisseur de solutions de sécurité nCircle a rapporté que le correctif d'Apple pour le problème DNS ne fonctionnait pas correctement.

Le président d'Internet Systems Consortium, Paul Vixie, a qualifié le problème de traduction de port de «gros problème». commencer à comprendre la gravité de la situation. Lorsque Kaminsky a abordé le problème pour la première fois, certains experts en sécurité avaient dit que le problème semblait simplement être une répétition d'un problème connu.

Mais après que le bogue a été divulgué par inadvertance la semaine dernière, certains sceptiques ont changé d'avis. continue d'être un gâchis ", a-t-il déclaré par e-mail. "Mais au moins, il n'y a plus de négationnistes qui brouillent les eaux avec le message" exagéré, pas urgent ".

(Will Schultz de PC World a contribué à cette histoire.)