插上这个东西,翻墙中共查不到
在互联网域名系统出现严重缺陷后的第一个报告发布后的近一个月,一些最广泛使用的防火墙软件的供应商正在争先恐后地解决一个问题,该问题基本上可以取消部分解决此问题的补丁。
DNS漏洞影响许多供应商提供的服务器软件,包括Microsoft,Cisco Systems和Internet Systems Consortium。
某些防火墙软件取消了DNS修补程序中引入的源端口随机化功能。安全专家表示,虽然这种改变并未完全否定DNS补丁,但它可以使攻击者更容易对DNS服务器实施缓存中毒攻击。备份]
这可能会导致对这些DNS服务器的用户几乎无法检测到网络钓鱼攻击。执行IP(Internet协议)地址转换的防火墙 - 将其内部网络中计算机使用的IP地址转换为不同的IP地址由互联网上的其他计算机使用,有时可以撤销源端口随机化,安全专家说。
问题的范围最初让一些DNS专家感到意外,首先发现的IOActive研究员Dan Kaminsky说道。 DNS错误。 “这在某种程度上是我们的错,”他在电子邮件采访中说。 “我们低估了部署在DNS服务器前面的防火墙数量。”
“思科,瞻博网络,思杰和其他一些防火墙厂商一直在争先恐后地更新他们的设备,”他补充道。
这些供应商表示,在所有产品都修好之前,它可能还需要几周的时间。
周三,思科更新了其关于DNS问题的安全建议,为客户提供了如何处理该问题的指导,思科的董事Russ Smoak说。产品安全事件响应小组。他说,这个问题影响了使用防火墙进行端口地址转换(PAT)的思科客户。 “如果你有PAT防火墙,你可以做的最好的事情就是浏览我们的文档,了解我们的网络是如何配置的,如果你需要提供的修复,请安装修复程序。”
在此期间,网络管理员可以将他们的DNS查找转发给端口地址未被翻译的服务器,或者简单地重新配置防火墙,Kaminsky表示,瞻博网络预计在未来几周内为其产品提供随机源端口选项,Juniper发言人Cindy Ta ,通过电子邮件。
然而,并非所有的防火墙供应商都受到影响。例如,Check Point软件公司说它的防火墙没有这个问题。
Kaminsky的DNS缺陷影响到这么多种产品,因此补丁程序出现一些故障并不奇怪。本周早些时候,DNS专家报告说,他们创建的补丁正在降低一些高流量服务器的性能 - 那些正在被每秒超过10,000次查询的服务器所击中。上周五,安全厂商nCircle报告说,苹果公司针对DNS问题的解决方案无法正常工作。
互联网系统联盟总裁Paul Vixie称端口转换问题是一个“大问题”,但他表示,尽管存在一些早期的怀疑态度,开始了解情况的严重性。当Kaminsky首次讨论这个问题时,一些安全专家曾表示这个问题似乎只是一个已知问题的重演
但是在上周无意中发现了该错误之后,一些怀疑者改变了他们的调子。仍然是一团糟,“他通过电子邮件说。 “但至少没有更多的否认者认为这种”夸张的,不紧急的“信息使水域变得模糊不清。”
(PC World的Will Schultz对这个故事做出了贡献。)