Apple-patch voor DNS-lek deugt niet
De patch die Apple vorige week beschikbaar stelde voor een ernstige DNS-lek blijkt niet in alle gevallen te werken. De patch zou de afzenderpoort van UDP-pakketten willekeurig moeten maken, maar werkt niet voor alle versies van Mac OS X.
Vrijdag stelde Apple eindelijk een patch beschikbaar voor een ernstig DNS-lek. Die patch blijkt nu te rammelen. Na installatie zou de DNS-server van Mac OS X UDP-pakketten met een willekeurige afzenderpoort moeten versturen, maar dat gebeurt niet wanneer gebruikers werken met de clientversie van Mac OS X 10.4.11 of 10.5.4.
Deze misser betekent een nieuwe blamage voor Apple in deze DNS-beveiligingskwestie. De fabrikant kwam eerder negatief in het nieuws, omdat een patch drieeneenhalve week op zich liet wachten. Het gedrag van aartsrivaal Microsoft stak hierbij gunstig af. De softwaregigant kwam meteen na het bekend worden van het lek (op 8 juli tijdens Patch Tuesday) met een update voor de Microsoft DNS-server.
Zowel de client- als de serveruitvoering van Mac OS X gebruiken BIND, de meest gebruikte open source DNS-server. Van deze software bestaat ook al bijna vier weken een gepatchte versie (9.4.2-P1), maar Apple blijkt nog niet in staat te zijn deze versie binnen alle versies van haar besturingssysteem te integreren.
De eerste berichten van aanvallen op DNS-servers zijn inmiddels opgedoken. Een derde van de Nederlandse DNS-servers is nog steeds niet gepatcht. Daartoe behoren ook DNS-servers van providers.
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Frans Pelikaan, 04-08-2008 14:18
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
07-09-09 SURFnet ondersteunt veilig internetprotocol
04-06-09 Internet krijgt beveiligd DNS-protocol
25-02-09 .com-domein krijgt beveiligd DNS-protocol
06-01-09 Kaminsky vond DNS-lek dankzij fitnessongelukje
12-11-08 Windows 7 biedt betere DNS-beveiliging
11-11-08 Organisaties verwaarlozen DNS-infrastructuur
10-11-08 Nederland patcht slechter tegen Kaminsky-lek
05-09-08 Amsterdam neemt Getronics in bescherming
02-09-08 SIDN: vanaf 2009 overstap naar DNSsec
22-08-08 Aantal DNS-aanvallen neemt toe
18-08-08 Internetbankieren onveilig ondanks 3x kloppen
18-08-08 Mailservers nog kwetsbaar voor DNS-lek
14-08-08 Getest: exploittool voor DNS-lek
13-08-08 DNS-lek ondermijnt vertrouwen in internet
11-08-08 Gepatchte DNS-servers binnen tien uur over te nemen
08-08-08 Nederlander vond als eerste details DNS-lek
08-08-08 DNS-lek maakt internetbankieren onveilig
06-08-08 DNS-patches vertragen internetverkeer
05-08-08 DNSSEC enige oplossing tegen DNS-lek
04-08-08 Gepatchte DNS-servers binnen een dag te hacken
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media