Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

MS09-08

2009.03.15. 17:22 | buherator | Szólj hozzá!

Az SVRD blogon megjelent egy kis összefoglaló az MS09-08, WINS, DNS, WPAD és ISATAP szolgáltatásokat javító csomagról. Csak néhány gondolat ezzel kapcsolatban:

A CVE-2009-0233 és CVE-2009-0234 kódokkal fémjelzett sebezhetőségekről az okozza a problémát, hogy

"a szerver nem gyorsítótáraz bizonyos DNS válaszokat, lehetővé téve egy támadó számára, hogy folyamatosan lekérdezzen bizonyos Resource Recordokat a szervertől. Ez megkönnyíti a támadó számára, hogy eltalálja a megfelelő tranzakciós azonosító és forrásport kombinációt, így pedig választ hamisítson".

Csak megjegyezném: valahogy nekem ez a DJBDNS probléma ugrott be.

A másik két sebezhetőség esetében arról van szó, hogy a tartományba léptetett felhasználók tetszőleges domain nevet regisztrálhatnak magukat a tartomány DNS szerverén, ha azonban valaki a WINS, WPAD vagy ISATAP neveket regisztrálja, a tartomány többi felhasználója automatikusan feltételezi, hogy az adott gép egy adott szolgáltatáshoz tartozó, megbízható szerver. Érdemes belegondolni egy pillanatra az emögött álló naivitásba!

A javítással a DNS szerveren az érzékeny nevek egy feketelista segítségével szűrésre kerülnek, de a visszafele kompatibilitás érdekében a már bejegyzett nevek megmaradnak.

Az érintett rendszergizdáknak ajánlom a teljess poszt áttanulmányozását!

Címkék: windows gondolat dns wins isatap wpad

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.