Kritiek DNS cache poisoning lek in Symantec produkten
Er is een kritiek lek in verschillende Symantec gateway produkten ontdekt, dat door kwaadwillende personen misbruikt kan worden om de DNS cache te "vergiftigen". Het lek wordt veroorzaakt door een ongespecificeerde fout in de DNS proxy (DNSd) wanneer die als DNS caching server of primaire DNS server functioneert. Het lek wordt al zo'n twee weken actief misbruikt, en stuurt gebruikers in plaats van naar populaire sites zoals Google en eBay door naar een kwaadaardige pagina waar spyware en adware wordt verspreid. De schade zou echter meevallen, aangezien de meeste ISPs de kwaadaardige site, nadat het bekend werd, blokkeerden. Volgens Symantec zijn haar produkten niet de enige schuldige, en zouden er ook andere exploit vectoren gebruikt zijn, maar daar zijn de analysten van Netcraft het niet mee eens. Zij zien Symantec als de grote boosdoener. Inmiddels heeft de software ontwikkelaar updates voor de onderstaande produkten beschikbaar gesteld:
• Symantec Gateway Security 5400 Series, v2.x
• Symantec Gateway Security 5300 Series, v1.0
• Symantec Enterprise Firewall, v7.0.x (Windows and Solaris)
• Symantec Enterprise Firewall v8.0 (Windows and Solaris)
• Symantec VelociRaptor, Model 1100/1200/1300 v1.5
Meer informatie over de DNS aanvallen en de lekken:
• Advisory Symantec
• Advisory Symantec
• Advisory Secunia
• Waarschuwing van het ISC
• Artikel van Techweb over de aanvallen
Bron: security.nl
Er is een kritiek lek in verschillende Symantec gateway produkten ontdekt, dat door kwaadwillende personen misbruikt kan worden om de DNS cache te "vergiftigen". Het lek wordt veroorzaakt door een ongespecificeerde fout in de DNS proxy (DNSd) wanneer die als DNS caching server of primaire DNS server functioneert. Het lek wordt al zo'n twee weken actief misbruikt, en stuurt gebruikers in plaats van naar populaire sites zoals Google en eBay door naar een kwaadaardige pagina waar spyware en adware wordt verspreid. De schade zou echter meevallen, aangezien de meeste ISPs de kwaadaardige site, nadat het bekend werd, blokkeerden. Volgens Symantec zijn haar produkten niet de enige schuldige, en zouden er ook andere exploit vectoren gebruikt zijn, maar daar zijn de analysten van Netcraft het niet mee eens. Zij zien Symantec als de grote boosdoener. Inmiddels heeft de software ontwikkelaar updates voor de onderstaande produkten beschikbaar gesteld:
• Symantec Gateway Security 5400 Series, v2.x
• Symantec Gateway Security 5300 Series, v1.0
• Symantec Enterprise Firewall, v7.0.x (Windows and Solaris)
• Symantec Enterprise Firewall v8.0 (Windows and Solaris)
• Symantec VelociRaptor, Model 1100/1200/1300 v1.5
Meer informatie over de DNS aanvallen en de lekken:
• Advisory Symantec
• Advisory Symantec
• Advisory Secunia
• Waarschuwing van het ISC
• Artikel van Techweb over de aanvallen
Bron: security.nl
Laatst bewerkt:
