Es wurden mehrere Schwächen in PyDNS, einer Implementierung eines DNS-Clients in Python, identifiziert. Dan Kaminsky identifizierte eine anwendbare Methode zur Manipulation von DNS-Antworten und Cache-Vergiftung (cache poisoning), welche die begrenzte Entropie der DNS-Transaktions-ID und eine fehlende UDP-Quellport-Randomisierung vieler DNS-Implementierungen ausnutzt. Scott Kitterman merkte an, dass Python-DNS anfällig für diese Vorhersagbarkeit sei, da es weder die Transaktions-ID, noch den Quellport zufällig auswähle. Alles in allem sorgt diese fehlende Entropie dafür, dass Anwendungen, welche Python-DNS zur Namensauflösung verwenden, höchst anfällig für die Fälschung von Antworten sind.
Das Common Vulnerabilities and Exposures
-Projekt identifiziert diese
Art der Schwächen als CVE-2008-1447
und diese spezifische Form bei PyDNS als
CVE-2008-4099.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 2.3.0-5.2+etch1 behoben.
Wir empfehlen Ihnen, Ihr python-dns-Paket zu aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.