Software::Security
Sicherheitslücke im DNS entdeckt
Eine jetzt publizierte Sicherheitslücke im DNS macht ein Update fast aller DNS-Implementationen nötig.
Das Domain Name System (DNS) sorgt für eine Zuordnung von IP-Adressen zu Rechnernamen und ist für die meisten Rechner, die eine Netzwerkverbindung haben, unabdingbar. Das jetzt gefundene Problem kann offenbar dazu führen, dass Angreifer Falschinformationen ins DNS einschleusen können. In der Folge könnten nichts argwöhnende Benutzer statt auf ihrer Homebanking-Seite auf einer durch Betrüger nachgeahmten Seite landen, mit weitreichenden Konsequenzen.
Das Problem liegt nach Angaben von Sicherheitsexperten im Protokoll des DNS selbst, nicht in spezifischen Implementationen. Proprietäre Server-Software ist daher genauso betroffen wie freie und muss aktualisiert oder ersetzt werden.
Nach den vorliegenden Informationen hat der Sicherheitsexperte Dan Kaminsky das Problem Anfang dieses Jahres erkannt und arbeitete seither gemeinsam mit den Herstellern oder Betreuern der betroffenen Software an einer Lösung. Noch wurde nicht bekanntgegeben, worin das Problem genau besteht und wie es ausgenutzt werden kann. Die Situation ist insofern außergewöhnlich, dass sich aus der Korrektur kein Rückschluss auf die Ursache ziehen lassen soll. Bei einigen Servern besteht die Korrektur darin, dass der Server von einem zufällig ausgewählten UDP-Port aus seine Antwort sendet, statt Port 53 für alle Antworten zu verwenden. Dies kann in einigen Fällen eine Änderung von Firewall-Regeln erforderlich machen.
CERT hat eine offizielle Warnung zu dem Problem herausgegeben. Der Fehler scheint im Client-Teil des DNS zu liegen, weshalb nichtrekursive Nameserver wohl nicht betroffen sind. Neben rekursiven Nameservern sollten jedoch auch die entsprechenden Bibliotheken auf Clients (glibc unter Linux) aktualisiert werden. Die Distributoren haben begonnen, Updates zur Verfügung zu stellen. Dem Debian-Projekt zufolge ist BIND in Version 8 nicht korrigierbar. Diese Version gilt jedoch als veraltet und von ihrem Einsatz wird dringend abgeraten.
Dan Kaminsky hat auf seiner Webseite einen DNS-Checker veröffentlicht, der eine Prüfung ermöglichen soll, ob ein bestimmter Nameserver verwundbar ist. Derweil fordern Beobachter, dass das grundsätzlich unsichere Protokoll ersetzt werden müsse. Doch der Nachfolger DNSSEC gilt als kompliziert, was es einigen Kritikern zufolge nicht praktikabel macht.
