DNS Security Advisory und Fli4l - Update III

Auswirkungen des aktuellen DNS Security Advisories auf Fli4l und Update des Fli4l DNS Servers (aktualisiert am 22.07.2008)

Verschiedene Medien berichteten in den letzten Tagen über ein potentielles Sicherheitsproblem in Namensdiensten, z.B. Heise.

Fli4l stellt ebenfalls einen Name-Server bereit, der Namensauflösungen durchführt und deren Ergebnisse zwischenspeichert. Fli4l verwendet dazu dnsmasq. Der Autor hat umgehend auf das Security  Advisory reagiert und eine der vorgeschlagenen Gegenmaßnahmen in die Version 2.43 des dnsmasq eingebaut. Die genaue Diskussion dazu kann man auf der englischsprachigen Mailingliste verfolgen (Impact of CVE-2008-1447 forgery resilience und folgende Artikel zur Version 2.43, deutsche Übersetzung der ersten Reaktion des Authors).

Der Author mit  Dan Kaminsky, dem Authoren des Security Advisories unterhalten und bestätigt, das dnsmasq auch anfällig für die gefundene Attacke ist. Ein Update ist also notwendig.

In der Zwischenzeit ist auch bekannt geworden, wie der Angriff läuft. Ein Artikel auf dem Heise Newsticker beschreibt den Angriff genauer. Die Annahme, daß noch bis zur Black Hat Konferenz am 6.8.2008 Zeit wäre, ist also falsch.

Die notwendigen Änderungen im dnsmasq waren recht umfangreich, die Zeit für einen sorgfältigen Test recht knapp. So rutschte z.B. ein Bug im dhcp-Teil des dnsmasq beim Testen durch, der dazu führen kann, daß der dnsmasq sich beendet. Ein anderes Problem trat nur in einer ganz speziellen Situation auf,  die relativ selten eintrat, in einem Fall erst nach 8 Tagen Laufzeit, bei anderen trat die Situation gar nicht ein. Erkannt wurde letzteres Problem von einem Fli4l-Nutzer der einen der hier veröffentlichten Test-Kandidaten nutzte.

Die Probleme wurden nach und nach vom Authoren des dnsmasq behoben und dnsmasq ist inzwischen bei Version 2.45 angelangt. Um sicherzustellen, daß Fli4l über einen stabilen dnsmasq verfügt, ist ein breiter Test notwendig. Die zur Verfügung stehende Version ist inzwischen recht stabil und wird im Fehlerfalle nach einer Meldung im Syslog automatisch neu gestartet. Das Risiko, mit einem nicht funktionierenden Router dazustehen, ist also inzwischen vernachlässigbar gering. Das Fli4l-Team bitte daher alle, die dazu in der Lage sind, die aktuelle Version zu testen.

Wer testen will, findet die Version zusammen mit einem modifizierten Startupscript in einem dnsmasq-update auf Version 2.45. Das Startupscript startet den dnsmasq automatisch neu, wenn er sich beendet und generiert einen entsprechenden Eintrag im Syslog. Entsprechende Rueckmeldungen in der Newsgroup sind willkommen.