Új sebezhetőségek veszélyeztethetik az internet biztonságát
A BIND, az internet legelterjedtebb DNS-megoldó szoftverének fejlesztői két kritikus biztonsági rést azonosítottak, amelyek lehetővé teszik, hogy a támadók az egész előtárolt DNS-válaszhalmazt megmérgezzék. Ennek eredményeként a felhasználók észrevétlenül olyan oldalakra kerülhetnek, amelyek teljesen valódinak tűnnek, pedig támadók irányítása alatt állnak. Hasonló sebezhetőségre figyelmeztettek az Unbound DNS-megoldó kapcsán is. Míg a BIND sérülékenységei magas, 8,6-os veszélyességi besorolást kaptak, addig az Unbound hibája valamivel enyhébb, 5,6-os értéket kapott. Fontos kiemelni, hogy a BIND legalább egyik hibája jelentősen gyengíti azokat a védelmi vonalakat, amelyeket a 2008-as Kaminsky-féle DNS-cache poisoning támadások óta alkalmaznak.
A Kaminsky-támadás visszatérő árnyéka
A hibák kihasználásával a támadók szervezetek ezreiben tudják a DNS-megoldók által visszaadott címeket manipulálni. A helyes IP-címek helyett így akár teljes oldalakat irányíthatnak át támadó szerverekre. Bár már elérhetőek a javítások, a mostani sebezhetőségek arra emlékeztetnek, amikor 2008-ban Dan Kaminsky rámutatott: az internet DNS-rendszere masszívan sérülékeny az úgynevezett cache poisoning támadással szemben. A DNS protokoll alapjai – köztük a csak egyirányú UDP adatforgalom és a hitelesítés hiánya – akkor lehetővé tették, hogy támadók tömegesen irányítsanak át felhasználókat hamis weboldalakra. Ezzel szemben az iparág gyorsan reagált: a válaszok elfogadását jelentősen megbonyolították, így a támadások kivitelezése gyakorlatilag lehetetlenné vált.
Hogyan működik a DNS-cache poisoning?
A DNS-megoldók adott domainhez egy 16 bites azonosítót tárolnak, amit a válaszként kapott IP-cím beazonosítására használnak. Kaminsky rájött: egy támadó különböző kérésváltozatokat ismételgetve előbb-utóbb eltalálja azt a kombinációt, amelyet a rendszer helyesnek fogad el – így a rosszindulatú IP-cím bekerül az előtárolt válaszok közé. Erre válaszul az egész rendszer komplexebb hitelesítési mechanizmusokat vezetett be: a válaszokat már véletlenszerűen kiválasztott portokon is ellenőrzik, így a lehetséges kombinációk száma milliárdokra nőtt.
Különösen fontos kiemelni, hogy a védelem újra meggyengülhet
Az egyik friss BIND-hiba, a CVE-2025-40780, egy hibás véletlenszám-generátor miatt teszi kiszámíthatóvá a port- és lekérdezés-azonosítók kiosztását, így ismét lehetőséget ad a cache poisoning támadásokra. Egy másik hiba, a CVE-2025-40778, engedékenyebben fogadja el a DNS-válaszok bizonyos részeit, így szintén hamis adatok juthatnak be az előtárolásba.
A fennmaradó védelmi vonalak és javítások fontossága
Bár a mostani hibák valós fenyegetést jelenthetnek, a kár kockázata jóval kisebb, mint 2008-ban. Ennek oka, hogy a hitelesítő DNS-szerverek maguk nem sérülékenyek, emellett működik a DNSSEC-alapú hitelesítés is, amely digitális aláírást követel a rekordokra. További védelmet nyújt a forgalomszabályozás és a szervertűzfalak alkalmazása. A Red Hat hangsúlyozza: a támadás kivitelezése nehéz, időzítése pontos kell legyen, és csak a válaszelőtárolást érinti, ezért fontos, hogy minden szervezet a lehető leghamarabb telepítse a javításokat.
A fentiek tükrében a rendszeres frissítés és a védelmi intézkedések betartása továbbra is nélkülözhetetlen marad az internet biztonsága szempontjából.
2025, adminboss, arstechnica.com alapján
filózó
Te mennyire bízol az internetes rendszerek védelmében?
Ha egy ilyen biztonsági hibáról értesülnél, azonnal frissítenéd a rendszert?
Szerinted a szolgáltatóknak kötelességük lenne figyelmeztetni minden felhasználót a hasonló kockázatokra?
Érdemes megérteni, hogy az OpenAI ismét nagyot lépett előre: bemutatta legújabb fejlesztését, amely képes komplex, akár órákig tartó feladatok önálló elvégzésére, nem akad el a hosszabb munkafolyamatokban, és ténylegesen kézzelfogható eredményre vezet különféle célok esetén is...
🔥 Az Asus ProArt GeForce RTX 5090 32 GB GDDR7 OC Edition kifejezetten a tartalomgyártók és prémium minőségű munkaállomások építőinek szánt grafikus kártya, amely ötvözi a legerősebb fogyasztói GPU-t egy vékonyabb, kis helyigényű kivitelben...
📷 Egy személyautó-méretű óriáskamera megkezdte minden idők legnagyobb földi égboltfelmérését Chilében. A Cerro Pachón tetején működő, 3 tonnás digitális műszer elindította a Legacy Survey of Space and Time-ot, és mostantól éjszakánként, negyven másodpercenként, körülbelül 3200 megapixeles, 8 GB-os képeket készít az univerzumról...
A legújabb csillagászati megfigyeléseknek köszönhetően kiderült, hogy a Tejútrendszer két hatalmas spirálkarja sokkal messzebb húzódik, mint azt valaha gondoltuk...
Lényeges, hogy az Egyesült Államokat az utóbbi hetekben különösen súlyos parazitajárvány sújtja: országszerte már több mint ezer cyclosporiasis-fertőzést jelentettek...
Az MI-ügynökök egyre fontosabb szerepet töltenek be a vállalati működésben, azonban az egyszerűség kedvéért gyakran ugyanazt az API-kulcsot kapják meg...
Az antibiotikum-rezisztencia az egyik legsúlyosabb egészségügyi fenyegetés világszerte, a következő 15 évben akár 39 millió halálesethez is vezethet, ha a baktériumok továbbra is ellenállóvá válnak a gyógyszerekkel szemben...
Időutazás a történelembe: Julius Caesar majdnem elszenvedett macedóniai veresége, a Vichy-kormány megalakulása és a Death Valley hőmérsékleti rekordja mind ezen a napon történt...
A Google új Home hangszórója igen viharosan rajtolt, hiszen hónapokkal a Pixel 10 bemutatója után, hosszas késlekedést és számos kiszivárgást követően jutott el a felhasználókhoz...
👀 Érdemes megérteni, hogy a Johns Hopkins Egyetem kutatóinak sikerült megfejteniük, miként alakul ki az éles, központi látásunk már születésünk előtt...
🛡 Érdemes megvizsgálni, hogy a júniusi hibajavítási hullám után egy új, napvilágot látott sebezhetőség miatt ismét frissítést kellett kiadnia a Microsoftnak...
🚧 Az Egyesült Államok Közlekedésbiztonsági Hivatala most ultimátumot adott az önvezető autókat fejlesztő cégeknek: július végéig találják meg a megoldást arra, hogy a sofőr nélküli járművek ne zavarják a mentőket vészhelyzetekben...
🚨 Noha a Linux hosszú ideje az egyik legmegbízhatóbb operációs rendszerként él a köztudatban, a közelmúltban két súlyos sebezhetőség is napvilágra került, amelyek alapjaiban rengethetik meg a felhőszolgáltatók biztonságát...
🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...
💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...
Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...
A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...
💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...
Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...
🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...
Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...