Palomuurien toimittajat sekoita DNS-ongelman korjaamiseksi

Melkein kuukausi sen jälkeen, kun Internetin verkkotunnusjärjestelmä oli kriittisesti virheellinen, joidenkin laajimpien palomuuriohjelmien toimittajat sekoittuvat ratkaisemaan ongelman, joka voi olennaisesti kumota tämän ongelman korjaavien korjaustiedostojen osan.

DNS-virhe vaikuttaa monien toimittajien, kuten Microsoftin, Cisco Systemsin ja Internet Systems Consortiumin tekemään palvelinohjelmistoon.

Jotkin palomuuriohjelmat kumoavat lähdesataman satunnaistamisominaisuuden, joka otettiin käyttöön DNS-korjaustiedostoissa. Vaikka tämä muutos ei täysin kumoa DNS-korjaustiedostoa, se voi helpottaa hyökkääjien poistamista välimuistin hyökkäyksestä DNS-palvelinta vastaan. Tietoturva-asiantuntijat sanovat.

[Lue lisää: varmuuskopiointi

Tämä voi johtaa käytännössä havaitsemattomiin tietojenkalastushyökkäyksiin näiden DNS-palvelimien käyttäjille.

Palomuurit, jotka tekevät IP-osoitteen (Internet Protocol) -konversiota - muuntaa IP-osoitteita, joita tietokoneet käyttävät sisäisissä verkoissaan eri IP-osoitteisiin joita muut Internet-tietokoneet käyttävät - voivat joskus kumota lähdesataman satunnaistamisen, tietoturva-asiantuntijat sanovat.

Ongelman laajuus sai aluksi joitain DNS-asiantuntijoita yllättäen, sanoi Dan Kaminsky, IOActive tutkija, joka ensin löysi DNS-bugi. "Tämä on jossain määrin vikaamme", hän sanoi sähköpostin haastattelussa. "Olemme aliarvioineet siellä olevien palomuurien määrän, jotka oli otettu käyttöön DNS-palvelimien edessä."

"Cisco, Juniper, Citrix ja monet muut palomuurimyyjät ovat ehdottomasti turvautuneet päivittämään laitteitaan", hän lisäsi.

Nämä toimittajat sanovat, että se voi vielä olla viikkoja ennen kuin kaikki tuotteet ovat kiinteitä.

Keskiviikkona Cisco päivitti tietoturvakysymyksensä DNS-ongelmasta, jotta asiakkaille annettaisiin ohjeita ongelman käsittelemiseksi, sanoo Russ Smoak, Tuoteturvallisuuskatastrofien vastausryhmä. Tämä ongelma koskee Cisco-asiakkaita, jotka käyttävät palomuuria porttikäännöksen (PAT) tekemiseen, hän sanoi. "Jos sinulla on PAT-palomuuri, parasta mitä voit tehdä on tarkastella asiakirjaamme, ymmärtää, miten verkko on määritetty ja jos tarvitset korjausta, aseta korjaus."

Väliaikainen verkko

Juniper Networks odottaa toimittavan satunnaisen lähdesatamahdollisuuden tuotteilleen lähiviikkoina, sanoi Juniper-tiedottaja Cindy Ta, joka kertoo, että palveluntarjoajat voivat siirtää DNS-haut palvelimille, joiden porttisivut eivät ole käännettävissä tai yksinkertaisesti palomuurin uudelleenmuotoilua., sähköpostitse.

Ei kuitenkaan vaikuta kaikkiin palomuurimyyjiin. Esimerkiksi Check Point Software sanoo, että sen palomuureilla ei ole tätä ongelmaa.

Kaminskyn DNS-virhe vaikuttaa niin monenlaisiin tuotteisiin, ettei se ole yllättävää, että korjausprosessissa on ollut joitain virheitä. Aiemmin tällä viikolla DNS-asiantuntijat kertoivat, että heidän laatimansa korjaustiedon hidastivat suorituskykyä joillakin korkean liikenteen palvelimilla - niitä, joihin kohdistui yli 10 000 kyselyä sekunnissa. Tietoturvatoimittaja nCircle ilmoitti perjantaina, että Applen korjaus DNS-ongelmalle ei toimi kunnolla.

Internet Systems Consortiumin presidentti Paul Vixie kutsuu porttikäännöstelyn ongelmaksi "iso juttu", mutta hän sanoi, että huolimatta aikaisesta skeptisyydestä käyttäjät ovat alkaa ymmärtää tilanteen vakavuutta. Kun Kaminsky keskusteli ongelmasta ensimmäistä kertaa, jotkut tietoturva-asiantuntijat olivat sanoneet, että ongelma näytti olevan yksinkertaisesti tunnetun ongelman jälki.

Mutta sen jälkeen kun vika oli paljastettu viime viikolla tahallaan, jotkut epäilijät muuttivat viritystäan. on edelleen sotku ", hän sanoi sähköpostitse. "Mutta ainakin siellä ei ole enää kieltäjiä, jotka vangitsevat vedet" ylikuumentuneella, ei kiireellisellä "sanomalla."

(PC Worldin Will Schultz osallistui tähän tarinaan.)