Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Faille DNS: savoir si on est vulnerable? c'est ici ;-)

12 réponses
Avatar
Pierre
Bonjour tout le monde

Vous pouvez tester votre vulnérabilité DNS à cette faille ici:

http://www.doxpara.com/

Cordialement,

Pierre

10 réponses

1 2
Avatar
DAPL
Oui, et si c'est le FAI qui est vulnérable ?
Que faire à part attendre qu'il patche ?
Avatar
Pascal Hambourg
Salut,

DAPL a écrit :
Oui, et si c'est le FAI qui est vulnérable ?
Que faire à part attendre qu'il patche ?



Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.
Avatar
Fabien LE LEZ
On 10 Jul 2008 10:35:43 GMT, Pascal Hambourg :

Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.



Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?

Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.
Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.
Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.
Avatar
Pascal Hambourg
Fabien LE LEZ a écrit :

Installer et utiliser son propre DNS récursif autonome qui ne soit pas
vulnérable.



Accessoirement, as-tu une suggestion de logiciel qui :
- fonctionne sous Windows
- ne soit pas vulnérable
- soit raisonnablement facile à installer ?



Non, je n'utilise que BIND 9 sous GNU/Linux.

Jusqu'ici, j'utilisais Posadis, mais vu qu'il n'a pas été mis à jour
depuis une éternité, j'imagine qu'il ne correspond pas au deuxième
critère.



Pas sûr. C'est une faille résultant d'un mauvais choix de conception.
Les logiciels dont les développeurs n'ont pas fait ce mauvais choix ne
sont pas vulnérables, même s'ils sont vieux. De toute façon tu peux
vérifier avec le lien fourni en début de fil. Par contre il a peut-être
d'autres failles ou bugs.

Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.



Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.

Il y a bien djbdns, mais à ma connaissance, il n'est pas installable
sous Windows.



Voilà un exemple de vieux machin qui n'a pas besoin d'être patché contre
cette vulnérabilité parce que son développeur avait fait le bon choix de
conception dès le départ.
Avatar
Fabien LE LEZ
On 10 Jul 2008 11:08:16 GMT, Pascal Hambourg
:

De toute façon tu peux
vérifier avec le lien fourni en début de fil.



Ah ben effectivement, Posadis semble fonctionner correctement. :-)

Dans un moment de folie, j'avais tenté d'installer Bind, aussi puis-je
affirmer qu'il ne correspond pas au troisième critère.



Il me semble avoir vu passer des gens utilisant BIND sous Windows dans
fcr.ip.



Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.
Avatar
Pascal Hambourg
Fabien LE LEZ a écrit :

Bind, c'est comme Emacs : il sait tout faire, sauf le café (et encore,
pour Emacs, c'est en projet), mais il faut un sacré investissement au
début. Du coup, quand on a de petits besoins (pallier les déficiences
des DNS de son FAI, par exemple), des solutions plus simples sont bien
agréables.



Je ne sais pas pour la version Windows, mais la version empaquetée pour
Debian s'installe toute seule et est configurée par défaut pour servir
de cache récursif local. Ceci dit je reconnais qu'il y sûrement plus
simple que BIND pour un simple cache récursif.
Avatar
Thierry
"Pascal Hambourg" a écrit dans le message de
news: g54qg6$2rna$
De toute façon tu peux vérifier avec le lien fourni en début de fil.



C'est a dire que le site teste la faille ?
Je pensais qu'il se contentait de verifier la version du soft DNS.
Avatar
Pascal Hambourg
Thierry a écrit :
"Pascal Hambourg" a écrit dans le message de
news: g54qg6$2rna$

De toute façon tu peux vérifier avec le lien fourni en début de fil.



C'est a dire que le site teste la faille ?



Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé. Ça regarde si les requêtes ont
toujours le même port source ou un port aléatoire. Ça vérifie peut-être
aussi le caractère aléatoire de l'ID de requête.

Je pensais qu'il se contentait de verifier la version du soft DNS.



Je ne crois pas qu'il existe une méthode fiable pour cela.
Avatar
Thierry B\.
--{ Pascal Hambourg a plopé ceci: }--

Oui. Je n'ai pas regardé dans le détail, mais il doit y avoir un bout de
javascript qui fait faire une série de requête DNS au navigateur qui
aboutissent à un serveur déterminé.



Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...


--
Pourquoi le Poulet a traversé la rue ?
* Isaac Asimov : La Troisième Loi des Poulets stipule qu'un poulet doit
protéger sa propre existence sauf si cette protection le force à désobéir
à un ordre humain ou à blesser un humain.
Avatar
Fabien LE LEZ
On 11 Jul 2008 20:35:41 GMT, "Thierry B." :

Est-ce que, _vraiment_, Javascript est capable de faire ce genre
de choses ? Je trouve ça un peu inquiétant...



Le code ne fait pas grand-chose : il se contente d'afficher, dans une
iframe, la page

http://<session>.toorrr.com/printme.html

où "<session>" est remplacé par 12 caractères hexadécimaux ([a-f0-9])
choisis au hasard.
1 2