DNS-Sicherheitsrisiko (Cache Poisoning): Noch kein Patch für OS X Server

[MacMännchen]

Kann ich bestätigen.
Habe es gerade auf einem 10.4.11 System getestet. Das security update 2008-005 ist eingespielt und ein named -v zeigt auch brav "BIND 9.3.5-P1".

ABER:
wenn ich mir mit tcpdump DNS Abfragen anschaue, erhalte ich:

08:40:22.211926 IP mini.[B]49391[/B] > speedport.domain: 21693+ A? www.heise.de. (30)
08:40:22.229900 IP speedport.domain > mini.49391: 21693*- 1/0/0 A www.heise.de (46)
08:40:22.230560 IP mini.[B]49392[/B] > speedport.domain: 48143+ AAAA? www.heise.de. (30)
08:40:22.582088 IP mini.[B]49393[/B] > speedport.domain: 43037+ PTR? 85.144.99.193.in-addr.arpa. (44)
08:40:22.594788 IP speedport.domain > mini.49393: 43037*- 1/0/0 (70)
08:40:27.230591 IP mini.49392 > speedport.domain: 48143+ AAAA? www.heise.de. (30)
08:40:32.240908 IP mini.[B]49394[/B] > speedport.domain: 65327+ MX? www.heise.de. (30)
08:40:32.329654 IP speedport.domain > mini.49394: 65327 1/5/4 MX[|domain]
08:40:48.027165 IP mini.[B]49395[/B] > speedport.domain: 57713+ A? www.macuser.de. (32)
08:40:48.097039 IP speedport.domain > mini.49395: 57713 2/3/1 CNAME macuser.de., (147)
08:40:48.349173 IP mini.[B]49396[/B] > speedport.domain: 7225+ AAAA? macuser.de. (28)
08:40:53.349169 IP mini.49396 > speedport.domain: 7225+ AAAA? macuser.de. (28)
08:40:58.359504 IP mini.[B]49397[/B] > speedport.domain: 51803+ MX? macuser.de. (28)
08:40:58.459067 IP speedport.domain > mini.49397: 51803 1/3/2 MX mail.macuser.de. 10 (150)

also fortlaufende Portnummern, was zeigt, dass der Patch nicht gegriffen hat

 

[MacMännchen]

Update

Angeregt durch diesen Thread habe ich heute auch ein paar DNS-Abfragen gesnifft und bei der Gelegenheit festgestellt, dass Apple inzwischen nachgerüstet hat. Und zwar gilt das dem DNS Cache Poisoning Problem, Stichwort Port Randomization.

Zur Erinnerung hier noch mal der Stand von August 2008:
Passend dazu auch mein Post oben.

Inzwischen ist 10.5.6 aktuell und es läuft der named mit der Version BIND 9.4.2-P2.

Hier jetzt das "neue" Verhalten bei DNS Abfragen. Man beachte die zufällig generierten Portnummern:

20:16:33.250787 IP macbook.[B]60071[/B] > speedport.domain: 13158+ A? www.macuser.de. (32)
20:16:33.262151 IP speedport.domain > macbook.60071: 13158*- 1/0/0 A www.macuser.de (48)
20:16:33.317161 IP macbook.[B]60580[/B] > speedport.domain: 52984+ PTR? 130.73.230.87.in-addr.arpa. (44)
20:16:33.328136 IP speedport.domain > macbook.60580: 52984*- 1/0/0 (72)
20:16:33.786785 IP macbook.[B]49863[/B] > speedport.domain: 11817+ A? yui.yahooapis.com. (35)
20:16:33.865278 IP speedport.domain > macbook.49863: 11817 4/2/2 CNAME[|domain]
20:16:35.523559 IP macbook.[B]58401[/B] > speedport.domain: 16941+ A? pagead2.googlesyndication.com. (47)
20:16:35.596243 IP speedport.domain > macbook.58401: 16941 5/7/7[|domain]
20:16:35.986066 IP macbook.[B]55762[/B] > speedport.domain: 1315+ A? googleads.g.doubleclick.net. (45)
20:16:36.047279 IP speedport.domain > macbook.55762: 1315 5/7/7[|domain]
20:16:36.233262 IP macbook.[B]64554[/B] > speedport.domain: 1121+ A? impde.tradedoubler.com. (40)
20:16:36.243778 IP speedport.domain > macbook.64554: 1121*- 1/0/0 A[|domain]
20:16:36.433680 IP macbook.[B]57422[/B] > speedport.domain: 7147+ A? www.google-analytics.com. (42)
20:16:36.505940 IP speedport.domain > macbook.57422: 7147 2/7/7 CNAME[|domain]
20:16:36.508606 IP macbook.[B]65000[/B] > speedport.domain: 9082+ A? a772.g.akamai.net. (35)

Diese Lücke konnte man nicht unbedingt als "bedenklich" bezeichnen, aber es tut gut, wenn sich was tut.

btw, mein tcpdump zeigt noch etwas: ich habe keine mehrfachen DNS-Abfragen, nur mal so nebenbeibemerkt, um wieder auf diesen Thread zurückzukommen...