Todas las versiones de BIND con dnskeygen, hasta BIND 8.2.4 (incluida)
y todas las versiones de BIND con dnssec-keygen hasta BIND 9.1.2
(incluida) y que empleen actualizaciones dinámicas de DNS con
claves HMAC-MD5 se ven afectadas por un problema que puede dejar
expuestas las claves de actualización.
Existe un fallo en la utilidad dnskeygen bajo BIND 8 y la utilidad
dnssec-keygen icluida en BIND 9. Las llaves generadas con estas
utilidades se almacenan en dos archivos. En el caso de las llaves
secretas HMAC-MD5 que se usan para las actualizaciones dinámicas de los
servidores DNS, el mismo material secreto de las llaves está presente en
los dos archivos. Sólo uno de estos archivos está configurado por
defecto con un fuerte control de acceso. La exposición resultante puede
permitir a los usuarios locales no autorizados obtener la información de
las claves. Esto puede permitir ataques de actualización de servidores
DNS que soporten actualizaciones dinámicas.
Los usuarios de BIND 9 deben actualizar a BIND 9.1.3rc1 o superior.
BIND 8.3 está previsto que esté disponible en julio de 2001, hasta
entonces los administradores deberán inspeccionar todas las llaves para
corregir los permisos de los archivos. Los siguientes comandos revelarán
los archivos de llaves relevantes que pueden contener datos sensibles.
find / -name ´K*.+157+[0-9][0-9][0-9][0-9][0-9].key´ -perm +066
find / -name ´K*.+157+[0-9][0-9][0-9][0-9][0-9].private´ -perm +066
Estos comandos deben revelar los archivos que están desprotegidos por el
directorio, ruta o permisos ACL. Se deben cambiar los permisos en todos
los archivos dnssec , key y .private existentes a modos 600 o
superiores.
Los archivos dnssec de llaves deben crearse en directorios que tengan
los permisos y la propiedad configurados para denegar accesos sin
autorización al material de las claves.
antonior@hispasec.com
Más información:
IIS X-Force:
http://xforce.iss.net/
Deja una respuesta