|
|
Un bug découvert dans DJBDNS
Par Ludovic Blin,
secuobs.com
Le 05/03/2009
Résumé : Une faille a été découverte dans le serveur DNS DJBDNS, considéré jusqu’alors comme étant quasi parfaitement sécurisé. - Lire l'article
Pendant de nombreuses années, le serveur DNS DJBDNS, développé par l’universitaire américain Daniel J. Bernstein et largement utilisé, n’a été victime d’aucune faille de sécurité. Son auteur offrait même une prime de 1000 dollars pour tout bug qui serait découvert dans son application, développée avec un impératif strict de sécurité.
Un tel bug vient cependant d’être découvert, qui sans avoir un impact très important, a été validé par D.J. Bernstein qui remettra donc la somme de 1000 dollars à son découvreur ( lien ).
Le problème concerne les composants TinyDNS et axfrdns. Il est possible d’empoisonner les réponses de tinydns grace au contrôle du dns d’un sous-domaine ( lien ). Cela concerne uniquement les utilisateurs qui se servent de DJBDNS pour publier des enregistrements dns et non ceux qui se servent de cette application en temps que cache.
Il est donc conseillé aux utilisateurs de TinyDNS et axfrdns de mettre à jour ces composants.
Dans le registre « tout peut arriver », notons également l’ajout discret d’une documentation à l’incontournable outil réseau Scapy, à la fin de l’année dernière ( lien ).
DJBDNS : lien
- Article suivant : FAIR un cadre ouvert de standardisation pour la gestion du risque lié à l'information
- Article précédent : RegRipper facilite l'extraction et l'analyse des bases de registre Microsoft Windows
- Article suivant dans la catégorie Failles : Exécution en mode protégé SMM par empoisonnement du cache mémoire sur une plateforme matérielle Intel
- Article précédent dans la catégorie Failles : Exécution de code via l'inclusion XSL dans un script PHP vulnérable
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, microsoft, attaque, réseau, metasploit, outil, vulnérabilité, système, audit, virus, internet, usbsploit, données, linux, présentation, source, bluetooth, protocol, réseaux, reverse, vista, scanner, shell, meterpreter, engineering, conférence, rootkit, wishmaster, trames, téléphone, paquet, mobile, sysun, noyau, libre, botnet, rapport, accès, intel, https, snort, mémoire, téléphones |
| Mini-Tagwall de l'annuaire video : | | | | security, metasploit, biomet, biometric, windows, botnet, defcon, password, vmware, tutorial, exploit, conference, crypt, virus, lockpicking, attack, network, linux, rootkit, conficker, shmoocon, wireshark, server, meterpreter, ettercap, source, iphone, openvpn, openbsd, iptables, backtrack, openssh, deepsec, systm, hnncast, securitytube, brucon, shell, access, secconf, engineering, internet, fingerprint, virtual, firewall |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
