Re: DNS Bug (era: Configurar Bind9 problemas Registro.br)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 17-07-2008 21:54, Renato S. Yamane wrote:
> Felipe Augusto van de Wiel (faw) escreveu:
>> Sugiro que você dedique-se ao tema, está anunciado
>> para o dia 06 de agosto a divulgação completa de uma grande
>> falha de segurança que afeta o protocolo DNS e *todos* os
>> resolvedores serão afetados (independente de fabricante,
>> distro, ser software livre ou proprietário).
>
> Aproveitando o gancho: Eu estou achando que o patch já está
> sendo distribuido de forma oculta, "embutido" em algum outro
> patch que não tem nada a ver com o DNS.
O Dan Kaminsky que encontrou o bug explica qual estratégia
eles adotaram, na verdade, é uma recomendação de mais de 5 anos do
DJB, fazer aleatorização das portas UDP, não é a solução para o
bug, mas é uma forma de contorná-lo enquanto o problema real é
corrigido em escala mundial.
O vídeo abaixo, é o Dan numa FooCamp (O'Reilly) explicando
como ele achou o bug, como ele e o Paul Vixie coordenaram as
atividades de confirmação e como grandes empresas ajudaram a
reuní-los para que eles pudessem discutir formas de resolver.
http://news.oreilly.com/2008/07/dan-kaminsky-upgrade-your-dns.html
> Se isso não estiver sendo feito, eu creio que a primeira semana de Agosto
> (após o dia 06) será um caos, pois o bug parece ser realmente sério.
No vídeo ele explica que não dava pra corrigir o bug
diretamente porque isso seria o mesmo que desenha uma seta
gigante e dizer: "Olhe aqui!", então eles fizeram um caminho
alternativo pra ganhar cerca de 30 dias pra todos poderem
estar de alguma forma seguros (seja via patch, seja usando o
OpenDNS).
Essa entrada do Paul Vixie também explica alguns detalhes:
http://www.circleid.com/posts/87143_dns_not_a_guessing_game/
> Momento de especulação: Eu acho que foi esse bug que derrubou a
> Telefônica/Speedy por alguns dias.
Aí eu já não sei. :-)
Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkh/760ACgkQCjAO0JDlykY17wCfZ0nfEM/XmVZ5+qAObEK3swAn
PGYAoKMntRE38IQOpGgfDKIt5XRhcgFZ
=HDTE
-----END PGP SIGNATURE-----
Reply to: