W
walter_f
Aktives Mitglied
Thread Starter
- Dabei seit
- 20.02.2006
- Beiträge
- 3.169
- Reaktionspunkte
- 164
24 Jul 2008
Apple Fails to Patch Critical Exploited DNS Flaw
by Rich Mogull
On 08-Jul-08, a massive security patch was released by dozens of vendors for a major vulnerability in DNS (Domain Name Service), discovered by security researcher Dan Kaminsky. DNS is one of the fundamental underpinnings of the Internet; translating domain names (like tidbits.com) into IP addresses (like 192.168.0.12). Because DNS is so core to the functioning of the Internet, this vulnerability is perhaps the most significant security problem to face the Internet in the last decade.
All users who connect to Mac OS X servers for DNS lookups are at risk: Apple has not yet provided a patch, unlike dozens of other companies that make or distribute operating systems or DNS server software.
http://db.tidbits.com/article/9706
Ungewohnt: Sogar Microsoft hat relativ schnell reagiert (und sich mit den anderen beteiligten Unternehmen und Gruppen abgestimmt).
Ich bin gespannt, wann sich jemand bei Apple dafür Zeit nimmt...
Edit: Heise schreibt (26.07.2008 15:18):
Apple ohne Patch für DNS-Lücke
Anders als Microsoft und die Linux-Distributoren stellt Apple noch keinen Patch gegen das aktuelle Sicherheitsproblem im Domain Name Service bereit. Da die ersten Angriffe bereits laufen, sollte zumindest unverzüglich handeln, wer einen OS-X-Server für DNS nutzt.
Bereits im März entdeckte Dan Kaminsky ein massives Sicherheitsproblem in dem Verfahren, mit dem Namen wie www.heise.de in IP-Adressen wie 193.99.144.85 aufgelöst werden. Es war offenbar möglich, ohne großen Aufwand beliebige Zugriffe im Internet auf andere Rechner umzuleiten. Er verständigte alle wichtigen Hersteller – laut Rich Mogull, der nach eigenen Aussagen involviert war, auch Apple – und diese einigten sich angesichts der drohenden Gefahr auf ein gemeinsames Vorgehen.
...
Unverständlich ist, warum es bislang keine diesbezüglichen Sicherheitshinweise und Updates von Apple gibt. Immerhin nutzt OS X Server BIND, eine der meist verwendeten DNS-Server-Implementierungen, die ebenfalls anfällig für das Sicherheitsproblem ist. Dessen Hersteller stellte allerdings von Beginn an ein Update bereit, das sich ohne allzu großen Aufwand auf das Unix-artige OS X portieren lassen sollte.
...
Wer einen OS-X-Server betreibt, sollte diesen vorübergehend nicht zur Namensauflösung verwenden. Als Alternative kann er beispielsweise den DNS-Server seines Internet-Providers einsetzen, der hoffentlich die Updates bereits eingespielt hat. Dieser DNS-Server kann dann allerdings keine lokalen Namen auflösen. Anwender, die OS X als Desktop-System nutzen, sollten darauf achten, dass sie einen sicheren DNS-Server nutzen. Testen kann man dies unter anderem bei DNS-OARC oder bei Dan Kaminsky. Sollte sich bestätigen, dass auch die DNS-Caches der OS-X-Clients direkt angreifbar sind, können Anwender nur hoffen, dass auch Apple Patches bereit stellt, bevor die ersten Angriffe auf Clients beginnen.
...
http://www.heise.de/newsticker/meldung/113383
Walter.
Apple Fails to Patch Critical Exploited DNS Flaw
by Rich Mogull
On 08-Jul-08, a massive security patch was released by dozens of vendors for a major vulnerability in DNS (Domain Name Service), discovered by security researcher Dan Kaminsky. DNS is one of the fundamental underpinnings of the Internet; translating domain names (like tidbits.com) into IP addresses (like 192.168.0.12). Because DNS is so core to the functioning of the Internet, this vulnerability is perhaps the most significant security problem to face the Internet in the last decade.
All users who connect to Mac OS X servers for DNS lookups are at risk: Apple has not yet provided a patch, unlike dozens of other companies that make or distribute operating systems or DNS server software.
http://db.tidbits.com/article/9706
Ungewohnt: Sogar Microsoft hat relativ schnell reagiert (und sich mit den anderen beteiligten Unternehmen und Gruppen abgestimmt).
Ich bin gespannt, wann sich jemand bei Apple dafür Zeit nimmt...
Edit: Heise schreibt (26.07.2008 15:18):
Apple ohne Patch für DNS-Lücke
Anders als Microsoft und die Linux-Distributoren stellt Apple noch keinen Patch gegen das aktuelle Sicherheitsproblem im Domain Name Service bereit. Da die ersten Angriffe bereits laufen, sollte zumindest unverzüglich handeln, wer einen OS-X-Server für DNS nutzt.
Bereits im März entdeckte Dan Kaminsky ein massives Sicherheitsproblem in dem Verfahren, mit dem Namen wie www.heise.de in IP-Adressen wie 193.99.144.85 aufgelöst werden. Es war offenbar möglich, ohne großen Aufwand beliebige Zugriffe im Internet auf andere Rechner umzuleiten. Er verständigte alle wichtigen Hersteller – laut Rich Mogull, der nach eigenen Aussagen involviert war, auch Apple – und diese einigten sich angesichts der drohenden Gefahr auf ein gemeinsames Vorgehen.
...
Unverständlich ist, warum es bislang keine diesbezüglichen Sicherheitshinweise und Updates von Apple gibt. Immerhin nutzt OS X Server BIND, eine der meist verwendeten DNS-Server-Implementierungen, die ebenfalls anfällig für das Sicherheitsproblem ist. Dessen Hersteller stellte allerdings von Beginn an ein Update bereit, das sich ohne allzu großen Aufwand auf das Unix-artige OS X portieren lassen sollte.
...
Wer einen OS-X-Server betreibt, sollte diesen vorübergehend nicht zur Namensauflösung verwenden. Als Alternative kann er beispielsweise den DNS-Server seines Internet-Providers einsetzen, der hoffentlich die Updates bereits eingespielt hat. Dieser DNS-Server kann dann allerdings keine lokalen Namen auflösen. Anwender, die OS X als Desktop-System nutzen, sollten darauf achten, dass sie einen sicheren DNS-Server nutzen. Testen kann man dies unter anderem bei DNS-OARC oder bei Dan Kaminsky. Sollte sich bestätigen, dass auch die DNS-Caches der OS-X-Clients direkt angreifbar sind, können Anwender nur hoffen, dass auch Apple Patches bereit stellt, bevor die ersten Angriffe auf Clients beginnen.
...
http://www.heise.de/newsticker/meldung/113383
Walter.
Zuletzt bearbeitet:
