NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheid verholpen in DNS-implementaties
Advisory ID     : NCSC-2020-0976
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2020-25705
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van beveiligingsmaatregel
                  Spoofing
Uitgiftedatum   : 20210311
Toepassing      :
Versie(s)       :
Platform(s)     : Aruba Networks Operating System
                  OpenSUSE
                  SUSE

Update
   Aruba Networks heeft updates uitgebracht om de kwetsbaarheid te
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Beschrijving
   Onderzoekers hebben een kwetsbaarheid ontdekt in een aantal
   DNS-implementaties. De onderzoekers hebben de kwetsbaarheid de naam
   SAD DNS gegeven, een acroniemm voor Side-channel AttackeD DNS. Deze
   kwetsbaarheid heeft inmiddels CVE kenmerk CVE-2020-25705 gekregen.
   De kwetsbaarheid stelt een kwaadwillende in staat om internetverkeer
   van een slachtoffer te routeren naar de server van de kwaadwillende.
   De kwaadwillende kan daardoor een man-in-the-middle positie
   bemachtigen.

   De kwetsbaarheid met kenmerk CVE-2020-25705 is een nieuwe manier van
   eerdere DNS-cache poisoning aanvallen. Cache-poisoning aanvallen
   maken gebruik van de mogelijkheid om valse DNS-informatie in een
   caching-resolver te injecteren. Een van de maatregelen tegen eerdere
   DNS-cache poisoning aanvallen is source port randomization. Het is
   de onderzoekers gelukt om de security-bijdrage van source-port
   randomization gedeeltelijk teniet te doen door het misbruiken van
   ICMP rate-limiting.

   Meer informatie over de kwetsbaarheid is te vinden op de website van
   de onderzoekers:

   https://www.cs.ucr.edu/~zhiyunq/SADDNS.html

Mogelijke oplossingen
   De onderzoekers hebben geholpen met het schrijven van een patch voor
   de Linux kernel om het probleem te verhelpen. Mocht updaten nog niet
   lukken dan kunt u overwegen om tijdelijk uitgaande ICMP-berichten te
   blokkeren. Een structurele oplossing voor dit probleem is het
   gebruik maken van DNSSEC-validatie.

   -= Aruba Networks =-
   Aruba Networks heeft updates uitgebracht om de kwetsbaarheid te
   verhelpen in ArubaOS. Voor meer informatie, zie:

   https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-008.txt

   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheid te verhelpen in OpenSUSE Leap 15.1. U kunt deze
   aangepaste packages installeren door gebruik te maken van 'zypper'.
   U kunt ook gebruik maken van YAST of de updates handmatig downloaden
   van de OpenSUSE downloadserver (download.opensuse.org). Voor meer
   informatie, zie:

   https://lists.opensuse.org/archives/list
      /security-announce@lists.opensuse.org/thread
      /7GIP2AYRG3VCHD6CCU4URBF5KVBKIT63/

   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheid te
   verhelpen in SUSE 12. U kunt deze aangepaste packages installeren
   door gebruik te maken van 'YaST'. U kunt de packages ook handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:

   https://www.suse.com/support/update/announcement/2020
      /suse-su-20203326-1/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=0aD5
-----END PGP SIGNATURE-----