Afin de laisser le temps aux opérateurs de sécuriser leurs systèmes ; le chercheur en sécurité Dan Kaminsky avait précisé sur son Blog DoxPara.com qu'il n'en dévoilerait les détails que le 6 Aout 2008 lors de la prochaine conférence "Black Hat Briefings 2008".
Cepandant, au vu du "buzz" planétaire autour de cette faille, la situation a pris un tournant quelque peu différent : D'autres chercheurs en sécurité ont publié sur leurs blogs des détails sur ladite vulnérabilité. Le post original a été publié sur le Blog de Matasano mais a été retiré (Matasano, Regarding The Post On Chargen Earlier Today, July 21, 2008) quelque temps après.
A la lecture de l'analyse qui en est faite, mais qui reste cependant à valider "in-situ", le risque semble bien réel : Il est annoncé que 10 secondes suffisent pour "empoisonner" le cache d'un serveur DNS vulnérable.... Damned...
Des copies du post d'origine sont disponibles sur d'autres Blogs:
- Beezari, LiveJournal, DNS bug leaks by matasano, July 22, 2008
- Buanzolandia, Matasano - Kaminsky - DNS Forgery, July 21, 2008
Une analyse a été rédigée sur le Blog Invisible Denizen : Kaminsky's DNS Issue Accidentally Leaked ?, July 21, 2008.
Mon avis sur la question ? A la lecture de ces informations, la menace serait plutôt bien réelle...
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens