Brannmurleverandører Scramble for å fikse DNS-problem

Nesten en måned etter at en kritisk feil i Internett-domenenavnssystemet ble rapportert, ble leverandørene av noen av de mest brukte brannmurprogrammene scrambling for å fikse et problem som i det vesentlige kan angre en del av patene som adresserer denne feilen.

DNS-feilen påvirker serverprogramvaren laget av mange leverandører, inkludert Microsoft, Cisco Systems og Internet Systems Consortium.

Noen brannmurprogrammer angriper en kildeports randomiseringsfunksjon som ble introdusert i DNS-patcher. Selv om denne endringen ikke fullstendig negerer DNS-oppdateringen, kan det gjøre det lettere for angriperne å trekke ut et cache-forgiftningsangrep mot DNS-serveren, sier sikkerhetseksperter.

[Videre lesing: Best NAS-bokser for media streaming og sikkerhetskopiering]

Dette kan føre til praktisk talt uoppdagelige phishing-angrep mot brukere av disse DNS-serverne.

Brannmurer som gjør IP-adressering (Internet Protocol) - konvertere IP-adressene som brukes av datamaskiner på deres interne nettverk til forskjellige IP-adresser som brukes av de andre datamaskinene på Internett - kan noen ganger fortryde kildeportens randomisering, sier sikkerhetseksperter.

Problemet har i utgangspunktet tatt noen DNS-eksperter overraskende, sa Dan Kaminsky, den IOActive-forsker som først oppdaget DNS-feilen. "Dette er til en viss grad vår skyld," sa han i et e-postintervju. "Vi undervurderte antall brannmurer der ute som ble distribuert foran DNS-servere."

"Cisco, Juniper, Citrix, og en rekke andre brannmurleverandører har absolutt scrambling for å oppdatere utstyret," la han til.

Disse leverandørene sier at det fortsatt kan være uker før alle produktene er løst.

Cisco oppdaterte onsdagens sikkerhetsrådgivning på DNS-problemet for å gi kundene veiledning om hvordan man skal håndtere problemet, sa Russ Smoak, en direktør med Cisco Produktsikkerhetshendelsespons. Problemet berører Cisco-kunder som bruker brannmuren til å gjøre portadresseoversettelse (PAT), sa han. "Hvis du har en PAT-brannmur, er det best du kan gjøre å se gjennom dokumentet vårt, forstå hvordan nettverket er konfigurert, og hvis du trenger reparasjonen som er oppgitt, så installer reparasjonen."

I mellomtiden har nettverket Administratorer kan videresende DNS-oppslag til servere hvis portadresser ikke oversettes eller bare omkonfigurere brannmuren, sier Kaminsky.

Juniper Networks forventer å levere et tilfeldig kildeportalternativ for sine produkter i de kommende ukene, sa juniper-talskvinne Cindy Ta, via e-post.

Ikke alle brannmurleverandører påvirkes imidlertid. Check Point Software, for eksempel, sier at brannmurene ikke har dette problemet.

Kaminsky's DNS-feil påvirker et så bredt utvalg av produkter som det ikke er overraskende at det har vært noen feil i patchprosessen. Tidligere i uken rapporterte DNS-eksperter at patchen de hadde opprettet, var i ferd med å bremse ytelsen på noen høytrafikservere - de som ble rammet med mer enn 10.000 spørringer per sekund. På fredag ​​rapporterte sikkerhetsleverandøren nCircle at Apples løsning for DNS-problemet ikke fungerte riktig.

Presidenten for Internett-systemer Consortium Paul Vixie kaller portoversettelsesproblemet en "big deal", men han sa at til tross for noen tidlig skepsis er brukerne begynner å forstå alvoret av situasjonen. Når Kaminsky først diskuterte problemet, hadde noen sikkerhetseksperter sagt at problemet syntes å være rett og slett et rehash av et kjent problem.

Men etter at feilen ble utilsiktet avslørt forrige uke, endret noen skeptikere sin melodi. fortsetter å være et rot, "sa han via e-post. "Men i det minste er det ikke flere denier der ute, som gjør dem kjent med vannet med" overblown, not urgent "melding."

(PC Worlds Will Schultz bidro til denne historien.)