Managed hosting door True

Apple-patch voor DNS-lek deugt niet

Dit artikel delen:

De patch die Apple vorige week beschikbaar stelde voor een ernstige DNS-lek blijkt niet in alle gevallen te werken. De patch zou de afzenderpoort van UDP-pakketten willekeurig moeten maken, maar werkt niet voor alle versies van Mac OS X.

Vrijdag stelde Apple eindelijk een patch beschikbaar voor een ernstig DNS-lek. Die patch blijkt nu te rammelen. Na installatie zou de DNS-server van Mac OS X UDP-pakketten met een willekeurige afzenderpoort moeten versturen, maar dat gebeurt niet wanneer gebruikers werken met de clientversie van Mac OS X 10.4.11 of 10.5.4.

Deze misser betekent een nieuwe blamage voor Apple in deze DNS-beveiligingskwestie. De fabrikant kwam eerder negatief in het nieuws, omdat een patch drieeneenhalve week op zich liet wachten. Het gedrag van aartsrivaal Microsoft stak hierbij gunstig af. De softwaregigant kwam meteen na het bekend worden van  het lek (op 8 juli tijdens Patch Tuesday) met een update voor de Microsoft DNS-server.

Zowel de client- als de serveruitvoering van Mac OS X gebruiken BIND, de meest gebruikte open source DNS-server. Van deze software bestaat ook al bijna vier weken een gepatchte versie (9.4.2-P1), maar Apple blijkt nog niet in staat te zijn deze versie binnen alle versies van haar besturingssysteem te integreren.

Het lek dat Kaminsky ontdekte

De eerste berichten van aanvallen op DNS-servers zijn inmiddels opgedoken. Een derde van de Nederlandse DNS-servers is nog steeds niet gepatcht. Daartoe behoren ook DNS-servers van providers.

Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.

Snelle check

Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

Cruciaal beveiligingslek in Domain Name System

DNS infrastructuur vertoont nog steeds cruciale beveiligingsrisico's

DNS vaak onvoldoende beveiligd

DNSsec wordt wereldwijd meest gebruikt bij .NL

SURFnet ondersteunt veilig internetprotocol

Internet krijgt beveiligd DNS-protocol

.com-domein krijgt beveiligd DNS-protocol

Kaminsky vond DNS-lek dankzij fitnessongelukje

Windows 7 biedt betere DNS-beveiliging

Organisaties verwaarlozen DNS-infrastructuur

Nederland patcht slechter tegen Kaminsky-lek

Amsterdam neemt Getronics in bescherming

SIDN: vanaf 2009 overstap naar DNSsec

Aantal DNS-aanvallen neemt toe

Mailservers nog kwetsbaar voor DNS-lek

Internetbankieren onveilig ondanks 3x kloppen

Getest: exploittool voor DNS-lek

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen

Nederlander vond als eerste details DNS-lek

DNS-lek maakt internetbankieren onveilig

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken


Reacties

Een kwalijke zaak. Je ziet gewoon dat de focus van Apple duidelijk niet meer op server en software zit, maar op Itunes en Iphone.

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.