Les correctifs DNS posent des problèmes, les développeurs l'admettent
Les correctifs émis au début de ce mois de Juillet 2008 afin d'annuler une faille critique des serveurs DNS (Domain Name System) ont une action de ralentissement sur les serveurs qui utilisent le logiciel BIND (Berkeley Internet Name Domain), le logiciel de DNS le plus répandu du marché, et paralysé certaines versions de Windows Server. Paul Vixie, qui est à la tête d'Internet Systems Consortium (ISC), l'organisme en charge du logiciel BIND, a reconnu qu'il y a des problèmes avec ce correctif du 8 juillet déployé dans le cadre d'une mise à jour multifournisseurs (ISC, Cisco, Microsoft, entre autres). Ce correctif avait été délivré afin de corriger la faille liée à « l'empoisonnement du cache » (cache poisoning) découverte par Dan Kaminsky, il y a plusieurs mois. « Lors de la phase de programmation, nous avons pris conscience d'un souci potentiel sur les serveurs gérant beaucoup de trafic 'récursif', en l'occurrence lorsque le nombre de requêtes dépasse 10 000 par seconde. Mais à cause des risques, nous avons préféré finir les correctifs aussi vite que possible, et traiter les problèmes de performance dans les versions ultérieures, reconnaît Paul Vixie. Une nouvelle série de correctifs devrait être disponible plus tard cette semaine, et traiter les difficultés d'allocation de port, et « autoriser les requêtes TCP et les transferts de zone tout en émettant autant de requêtes UDP en suspens qu'il est possible ». La mise à jour du correctif du 8 juillet intitulée P2 est disponible en version béta pour BIND 9.4.3 et BIND 9.5.1. Paul Vixie avertit les administrateurs réseau qu'ils ne devraient pas revenir en arrière sur le correctif du 8 juillet, même si leurs serveurs tournent plus lentement. « Jusqu'à la sortie du code P2, il est impératif que vous utilisiez une version P1 de BIND, la vulnérabilité est plus préoccupante qu'un serveur lent. ." Outre Internet Systems Consortium, Microsoft a égalemnt confirmé il y a deux semaines que la mise à jour DNS du 8 juillet, étiquetée MS08-37, paralysait les machines sous Windows Small Business Server, une suite qui comprend entre autres, Windows Server 2003. Un des composants qui peut connaître des problèmes de lancement, est le service IPSec. Vendredi 25 juillet, Microsoft a émis des documents qui énoncent les effets secondaires du correctif mais listent également les programmes Exchange Server 2003 et ISA (Internet Security Acceleration) Server comme étant touchés. Un second problème concerne toutes les versions de Windows, depuis Windows 2000, XP, Vista jusqu'à Server 2003 et Server 2008. « Il est possible de ressentir des problèmes avec des services réseaux utilisant le protocole UDP après avoir installé la mise à jour DNS Server service 953230 (MS08-037) et avoir redémarré l'ordinateur, déclare Microsoft. Dans les deux cas, Microsoft offre les solutions dans les documents de support, mais n'a pas dit quand la nouvelle version du correctif DNS sera re-distribuée ou même si il y aura une nouvelle version du MS08-037.
