Brandväggsleverantörer Scramble för att fixa DNS-problem

Nästan en månad efter att en kritisk fel i internetets domännamnssystem först rapporterades, säljs leverantörer av några av de mest använda brandväggsprogrammen för att åtgärda ett problem som väsentligen kan ångra en del av de korrigeringsfiler som adresserar det här felet.

DNS-felet påverkar serverns programvara som gjorts av många leverantörer, inklusive Microsoft, Cisco Systems och Internet Systems Consortium.

Vissa brandväggsprogram eliminerar en randomiseringsfunktion för källporten som introducerades i DNS-patchar. Medan denna förändring inte fullständigt negerar DNS-korrigeringsfilen, kan det göra det lättare för angriparna att dra av en cache-förgiftningsattack mot DNS-servern, säger säkerhetsexperter.

[Ytterligare läsning: Bästa NAS-lådor för media streaming och backup]

Detta kan leda till praktiskt taget odetekterbara phishing-attacker mot användare av dessa DNS-servrar.

Brandväggar som gör IP-adress (Internet Protocol) adressomvandling - konvertera IP-adresser som används av datorer i sina interna nätverk till olika IP-adresser som används av de andra datorerna på Internet - kan ibland ångra källportens randomisering, säger säkerhetsexperter.

Problemets omfattning tog i början några DNS-experter överraskning, säger Dan Kaminsky, den IOActive-forskare som först upptäckte DNS-felet. "Det här är till viss del vårt fel," sa han i en e-post intervju. "Vi underskattade antalet brandväggar där ute som deployerades framför DNS-servrar."

"Cisco, Juniper, Citrix och ett antal andra brandväggsleverantörer har absolut förvrängt för att uppdatera sin utrustning," tillade han.

Dessa leverantörer säger att det fortfarande kan vara veckor innan alla produkter är fixade.

Cisco uppdaterade onsdagen sin säkerhetsrådgivning om DNS-problemet för att ge kunderna vägledning om hur man hanterar problemet, säger Russ Smoak, en chef med Cisco Product Security Incident Response Team. Problemet påverkar Cisco-kunder som använder brandväggen för att göra portadressöversättning (PAT), sa han. "Om du har en PAT-brandvägg är det bästa du kan göra att titta igenom vårt dokument, förstå hur vårt nätverk är konfigurerat och om du behöver reparationen som tillhandahålls installerar du fixen."

administratörer kan vidarebefordra sina DNS-sökningar till servrar vars portadresser inte översätts eller helt enkelt omkonfigurera brandväggen, säger Kaminsky.

Juniper Networks förväntar sig att leverera ett slumpmässigt källportalternativ för sina produkter under de närmaste veckorna, sade juniper talesman Cindy Ta, via e-post.

Inte alla brandväggsleverantörer påverkas emellertid. Check Point Software, till exempel, säger att brandväggarna inte har detta problem.

Kaminskys DNS-fel påverkar ett så stort utbud av produkter som det inte är överraskande att det har funnits några glitches i patchprocessen. Tidigare i veckan rapporterade DNS-experter att patchen de hade skapat saktrade prestanda på vissa högtrafikservrar - de som drabbades med mer än 10 000 frågor per sekund. På fredagen rapporterade säkerhetsleverantören nCircle att Apples fix för DNS-problemet inte fungerade korrekt.

Internet Systems Consortium President Paul Vixie kallar port översättningsproblemet en "big deal" men han sa att trots vissa tidiga skepsis är användarna börjar förstå allvaret av situationen. När Kaminsky först diskuterade problemet hade vissa säkerhetsexperter sagt att problemet verkade vara en rehash av en känd problem.

Men efter att felet avslöts oavsiktligt förra veckan ändrade vissa skeptiker sin melodi. fortsätter att vara en röra ", sa han via e-post. "Men i alla fall finns det inte några andra nekare där ute, med det" överblåsta, brådskande "budskapet."

(PC Worlds Will Schultz bidrog till denna historia.)