La vecchia versione 8 di BIND, il software che ancora oggi tiene in piedi un numero elevatissimo di server DNS, va in pensione per... scarsa sicurezza.

San Francisco, California (USA) - Impossibile tenerlo ancora in servizio: BIND 8, la vecchia versione del DNS, deve andare in pensione, e subito. Lo annunciano i ricercatori che hanno trovato serie vulnerabilità nella ormai vecchia ma ancora usatissima release del software BIND, usato per la risoluzione delle URL, invitando i maintainer a toglierla dalla circolazione.

Il problema che affligge il software Berkeley Internet Name Domain 8 (Bind 8) può portare a ridirigere utenti ignari in siti artatamente predisposti con finalità poco trasparenti, anche se la URL (uniform resource locator) è stata digitata correttamente, scrive Amit Klein, chief technology officer di Trusteer. Klein ha identificato il problema per intero. Alla luce di ciò, chi ancora la utilizza è a serio, serissimo rischio e farebbe ottima cosa se passasse immediatamente alla versione 9.4 di BIND, cioé l'ultima versione, con architettura migliorata proprio per aumentarne la sicurezza. Tra l'altro, BIND 9 è offerto dall'Internet Software Consortium (ISC), è gratuito e scaricabile liberamente. L'ISC ha creato per la versione 8 una patch intermedia, ma a causa della vetustà ne ha anche terminato il supporto.

"Non è mai facile far sparire un prodotto", ha scritto l'organizzazione in un comunicato. "I problemi di sicurezza di BIND 8 sono molti e sette anni dopo il rillascio della versione 9, ISC deve indirizzare i propri sforzi di manutenzione sulla versione nuova, non su quella vecchia".

secondo Infoblox, che conduce statistiche annuali sui server DNS, circa il 14% dei server DNS in Internet, nel 2006, risultavano ancora impiegare BIND 8. "Bind 8 è ancora molto usato come DNS oggigiorno, per questo la vulnerabilità minaccia molti utenti di Internet", ha scritto Klein. In una ricerca, Klein ha descritto una debolezza dell'algoritmo che Bind 8 usa per generare le transaction ID, numeri apparentemente randomici che consentono di scoprire eventuali tentativi di fornitura di false informazioni in risposta alle query. Tale debolezza rende possibile osservare alcune di queste query e riuscire a prevedere la sequenza delle ID successive, secondo Klein.

Utilizzando tale informazione, un attacker può inviare tranquillamente informazioni false ad un DNS, falsificando così l'indirizzo memorizzato in esso in relazione ad un determinato nome a dominio memorizzato nella cache. Così facendo, il traffico inteso a rivolgersi ad un determinato sito può essere "deviato" verso un'altra macchina, eventualmente predisposta, con scopi fraudolenti.

Klein ha anche avvisato che Bind 9, pur avendo un algoritmo nettamente migliore, non è del tutto fuori rischio.

Condividere questa pagina su: