Die BIND-Software, der im Internet am weitesten verbreitete Nameserver mit vermutlich rund 50% Marktanteil hat einen fehlerhaften Zufallszahlengenerator. Ausgenommen ist nur die mit OpenBSD ausgelieferte BIND-Version, weil dem Entwickler die Implementierung des Zufallszahlengenerators schon damals komisch vor kam und er den vorsorglich ausgewechselt hat.
Kritisch ist das hauptsächlich, weil jede DNS-Anfrage mit einer 16-Bit Transaction ID gesichert ist und wenn die erraten werden kann, kann einem DNS-Server eine falsche Antwort mit hoher Cache-Lebenszeit untergeschoben werden. Dem DNS-Server passiert dabei nichts, aber Clients, die an diesen DNS-Server anfragen stellen, werden möglicherweise auf einen falschen Webserver umgeleitet, die Gefahr von Phishing-Angriffen steigt. Der Wikipedia Eintrag zu DNS Cache Poisoning erklärt das Problem recht anschaulich.
Mal sehen, ob uns da demnächst was um die Ohren fliegt.
Kommentare gesperrt wegen Spam
Comment by Christian — 7. Juni 2012 @ 07:34