NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in DNS-implementaties
Advisory ID     : NCSC-2020-0976
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-25705
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van beveiligingsmaatregel
                  Spoofing
Uitgiftedatum   : 20201127
Toepassing      :
Versie(s)       :
Platform(s)     : OpenSUSE
                  SUSE

Beschrijving
   Onderzoekers hebben een kwetsbaarheid ontdekt in een aantal
   DNS-implementaties. De onderzoekers hebben de kwetsbaarheid de naam
   SAD DNS gegeven, een acroniemm voor Side-channel AttackeD DNS. Deze
   kwetsbaarheid heeft inmiddels CVE kenmerk CVE-2020-25705 gekregen.
   De kwetsbaarheid stelt een kwaadwillende in staat om internetverkeer
   van een slachtoffer te routeren naar de server van de kwaadwillende.
   De kwaadwillende kan daardoor een man-in-the-middle positie
   bemachtigen.

   De kwetsbaarheid met kenmerk CVE-2020-25705 is een nieuwe manier van
   eerdere DNS-cache poisoning aanvallen. Cache-poisoning aanvallen
   maken gebruik van de mogelijkheid om valse DNS-informatie in een
   caching-resolver te injecteren. Een van de maatregelen tegen eerdere
   DNS-cache poisoning aanvallen is source port randomization. Het is
   de onderzoekers gelukt om de security-bijdrage van source-port
   randomization gedeeltelijk teniet te doen door het misbruiken van
   ICMP rate-limiting.

   Meer informatie over de kwetsbaarheid is te vinden op de website van
   de onderzoekers:

   https://www.cs.ucr.edu/~zhiyunq/SADDNS.html

Mogelijke oplossingen
   De onderzoekers hebben geholpen met het schrijven van een patch voor
   de Linux kernel om het probleem te verhelpen. Mocht updaten nog niet
   lukken dan kunt u overwegen om tijdelijk uitgaande ICMP-berichten te
   blokkeren. Een structurele oplossing voor dit probleem is het
   gebruik maken van DNSSEC-validatie.

   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheid te verhelpen in OpenSUSE Leap 15.1. U kunt deze
   aangepaste packages installeren door gebruik te maken van 'zypper'.
   U kunt ook gebruik maken van YAST of de updates handmatig downloaden
   van de OpenSUSE downloadserver (download.opensuse.org). Voor meer
   informatie, zie:

   https://lists.opensuse.org/archives/list
      /security-announce@lists.opensuse.org/thread
      /7GIP2AYRG3VCHD6CCU4URBF5KVBKIT63/

   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheid te
   verhelpen in SUSE 12. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt de packages ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:

   https://www.suse.com/support/update/announcement/2020
      /suse-su-20203326-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=xmDz
-----END PGP SIGNATURE-----