Root.cz  »  Bezpečnost  »  Mastercard měl pět let překlep v DNS, který mohl vést k odposlechu provozu  »  Názory  »  Vlákno

Vlákno názorů k článku
Mastercard měl pět let překlep v DNS, který mohl vést k odposlechu provozu od RDa - Spis mohl vytvorit DoS stav - dokud domena...

  • Článek je starý, nové názory již nelze přidávat.

  • 23. 1. 2025 13:09

    RDa

    Spis mohl vytvorit DoS stav - dokud domena nebyla registrovana, nic se nedelo - resolver zkusil dalsi adresu, ale jakmile byla funkcni, mohl by zasahnout do procesu - a jelikoz pochybuji ze by provoz byl nesifrovan, tak se nabizi hlavne moznost naruseni. Odposlech neni uplne na miste, kdyz mate jen metadata.

  • 23. 1. 2025 13:34

    Vít Šesták

    IMHO pokud jeho server neodpoví, pokračuje se dalším serverem. Jako jo, kdyby tam provozoval vlastní DNS, který by dotazované domény neznal, tak jo.

    Majitel té domény může nasměrovat záznamy kamkoliv, což by mělo stačit i k získání certifikátu. Jo, zanechá to stopy v CT logu, takže to nebude úplně nenápadná aktivita…

  • 23. 1. 2025 13:59

    Izak

    jj to je skoro slusna teorie ;-) praxe je veslejsi, plno sluzeb to neudela, nebo si nacte znova seznam DNS a pak na tom dlouhe minuty vysi a vysi, windows se z toho malem podela ... mi mame DNS v ruznych statech a takove SSSD ale i jine pak mrznou jak dive ;-) i kdyz maji vice AD - coz funguje v ramci SSSD rychle (kdyz jsou IP, kdyz name, tak se zase pta DNS), ale DNS vyzaduje nastaveni:
    options rotate timeout:1 retries:1

    Pak to tak funguje, 1 sec timeout a zkousi jen 1x -- a vse se razem vyrazne zrychli - treb jsme testovali odpojkeni primarniho DC a chod z replikaci a tak ... dost veci jsme si mysleli, ze ma nejak fungovat ale realne to tak nefunguje a je treba to vynutit konfiguraci --- defaultne ma kazdy OS mnoho opakovani a dlouhe timeouty

  • 23. 1. 2025 15:42

    Danny
    Stříbrný podporovatel

    Ono je potreba rozlisit, jak se chova resolver koncove stanice a jak se chova caching resolver, ktereho se ta koncova stanice pta. Resolver opreny o nejakou pricetnou implementaci si ten stav "nedostupneho" umi podrzet, obecne se pta vsech autoritativnich nameserveru (a nikoliv nutne v poradi, v jakem je dostane)... zatimco ta koncova stanice se typicky tupe pta serveru v poradi, v jakem je ma nakonfigurovane.

    Takze dojdete k tomu, ze vypadek/nedos­tupnost jednoho z autoritativnich serveru zaregistrovat ani nemusite, zatimco kdyz vam vypadne ta lokalni DNS cache, co mate v poradi jako prvni, tak se holt zacnou dit skarede veci.

Dále u nás najdete

Půlka vinných klobás v testu propadla. Šidí Lidl, Globus i Makro

CIOtrends: střízlivění z AI, návrat do kanceláří a privátní cloud

Rok 2025 nás přinutil žít s AI. Mozek ale nestíhá

Jak chutná a jak se jí physalis, karambola a cherimoya

České firmy pořád investují do kyberbezpečnosti málo

Zálohy na zdravotní pojištění: minimálně 3306 korun

Kdy náleží vdovský důchod déle než 1 rok? Příklady napoví

Matka a dcera lásku k přírodě proměnily v kvetoucí byznys

Příspěvky pojišťoven 2026: Více peněz na očkování, pohyb i dentální hygienu

Exekuční srážky v roce 2026: nezabavitelná částka bude vyšší

Teplý čaj i kulich. Kardiolog radí, jak připravit srdce na chlad

Přinášíme 10 zajímavých příběhů podnikatelů za rok 2025

Datová centra: AI boom, limity energetiky a přesun kapacit

Rozbili jste web? Napodobte Cloudflare a hoďte to na něj

Lehké silvestrovské pomazánky, které budete mít za chvilku hotové

Jak si mohou podnikající zaměstnanci snížit daně?

Města, hrady, hory: poznejte zasněžené dominanty

Necháváme AI měnit svět, i když dobře víme o nebezpečích

Jak se liší příjmy v Rakousku?

Fiasko McDonald’s: Když AI reklama ztratí duši