Firewall Vendors Scramble to Fix DNS Problem

Halos isang buwan pagkatapos ng isang kritikal na kapintasan sa Domain Name System ng Internet ay unang iniulat, ang mga vendor ng ilan sa mga pinaka-malawak na ginamit na firewall software ay nag-aagawan upang ayusin ang isang problema na maaaring buuin ang bahagi ng mga patches na tumutugon sa bug na ito. > Ang kapintasan ng DNS ay nakakaapekto sa server software na ginawa ng maraming mga vendor, kabilang ang Microsoft, Cisco Systems, at ang Internet Systems Consortium.

Ang ilan sa software ng firewall ay nagbabalik sa isang tampok ng source ng randomization port na ipinakilala sa mga DNS patch. Habang ang pagbabagong ito ay hindi ganap na kontrahin ang patch ng DNS, maaari itong gawing mas madali para sa mga attackers na pull off ang cache-pagkalason atake laban sa DNS server, sinasabi ng mga eksperto sa seguridad.

[Karagdagang pagbabasa: Pinakamahusay NAS na mga kahon para sa media streaming at backup ng

Ito ay maaaring humantong sa halos hindi na na-detect na pag-atake ng phishing laban sa mga gumagamit ng mga DNS server.

Mga firewalls na ginagawa ng IP (Internet Protocol) na pagsasalin ng pagsasalin - nagko-convert ang mga IP address na ginagamit ng mga computer sa kanilang mga internal na network sa iba't ibang mga IP address na ginagamit ng iba pang mga computer sa Internet - kung minsan ay maaaring i-undo ang source port randomization, sinabi ng mga eksperto sa seguridad.

Ang saklaw ng problema sa una ay kinuha ang ilang mga eksperto sa DNS sa pamamagitan ng sorpresa, sinabi ni Dan Kaminsky, ang IOActive researcher na unang natuklasan ang DNS bug. "Ito ay sa ilang antas ng aming kasalanan," sinabi niya sa isang interbyu sa e-mail. "Kami underestimated ang bilang ng mga firewalls out doon na deployed sa harap ng DNS server."

"Cisco, halaman ng dyuniper, Citrix, at isang bilang ng iba pang mga firewall vendor ay ganap na scrambling upang i-update ang kanilang mga kagamitan," idinagdag niya.

Sa Miyerkules, na-update ng Cisco ang Security Advisory nito sa problema sa DNS upang bigyan ng gabay ang mga customer kung paano haharapin ang isyu, sinabi Russ Smoak, isang direktor na may Cisco's Product Insidente ng Tugon sa Seguridad. Ang isyu ay nakakaapekto sa mga customer ng Cisco na gumagamit ng firewall upang gawin port address translation (PAT), sinabi niya. "Kung mayroon kang isang firewall ng PAT, ang pinakamagandang bagay na maaari mong gawin ay tingnan ang aming dokumento, maunawaan kung paano naka-configure ang aming network, at kung kailangan mo ang fix na ibinigay, pagkatapos ay i-install ang pag-aayos."

Sa interim, network ang mga administrador ay maaaring magpadala ng mga DNS lookup sa mga server na ang mga address ng port ay hindi isinasalin o i-reconfigure lamang ang firewall, sinabi ni Kaminsky.

Ang Juniper Networks ay umaasa na makapaghatid ng isang random na pagpipilian ng source port para sa mga produkto nito sa mga darating na linggo, sinabi Juniper spokeswoman na Cindy Ta, sa pamamagitan ng e-mail.

Gayunman, hindi lahat ng mga vendor ng firewall ay naapektuhan. Ang Check Point Software, halimbawa, ay nagsasabi na ang mga firewalls ay walang problemang ito.

Ang kamalian ng DNS ng Kaminsky ay nakakaapekto sa maraming uri ng mga produkto na hindi nakakagulat na nagkaroon ng ilang mga glitches sa proseso ng patch. Mas maaga sa linggong ito, ang mga eksperto ng DNS ay nag-ulat na ang patch na kanilang nilikha ay nagpapabagal ng pagganap sa ilang mga server ng mataas na trapiko - ang mga na na-hit na may higit sa 10,000 mga query sa bawat segundo. Sa Biyernes, iniulat ng security vendor nCircle na ang pag-aayos ng Apple para sa isyu ng DNS ay hindi gumagana ng maayos.

Internet Systems Consortium President Paul Vixie ang tawag sa problema sa pagsasalin ng port ay isang "malaking deal," ngunit sinabi niya na sa kabila ng ilang maagang pag-aalinlangan, ang mga gumagamit ay simula upang maunawaan ang kabigatan ng sitwasyon. Sa unang pag-usapan ni Kaminsky ang problema, sinabi ng ilang mga eksperto sa seguridad na ang problema ay nagpakita lamang ng isang pag-uulat ng isang kilalang isyu.

Ngunit matapos ang bug ay di-sinasadyang isiwalat noong nakaraang linggo, ang ilang mga skeptics ay nagbago ng kanilang tune. patuloy na maging gulo, "sinabi niya sa pamamagitan ng e-mail. "Ngunit hindi bababa sa walang mga deniers out doon muddying ang tubig sa 'overblown, hindi urgent' mensahe."

(PC World Will Schultz contributed sa kuwentong ito.)