SIDN waarschuwt voor foutief geconfigureerde localhost-records

[Captain Kirk]

Van de 6,2 miljoen domeinnamen in de .nl-zone bevatten maar liefst 1,3 miljoen namen nog een A-record voor het localhost-label en dat kan veiligheidsproblemen opleveren, zo waarschuwt de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.

Het gaat dan om het A-record "localhost" dat naar 127.0.0.1 wijst. Bijvoorbeeld localhost.example.nl. De aanbeveling om een A-record voor localhost op te nemen gaat terug naar RFC 1537 van oktober 1993. RFC 1537 werd in 1996 overbodig verklaard en opgevolgd door RFC 1912. Daarin staat dat localhost (alleen) als een speciale hostname geconfigureerd moet worden. Bovendien staat er een punt achter de hostname, dus "localhost." in plaats van alleen "localhost" zonder punt.

In veel gevallen ontbreekt deze punt en dat kan een beveiligingsprobleem opleveren, zo stelt SIDN vandaag. Een verkeerd geconfigureerd localhost-record kan worden gebruikt voor een cross-site scripting (XSS)-aanval waarbij een aanvaller http-cookies van andere gebruikers op hetzelfde systeem waarop de website draait kan afluisteren.

"Dat doet een gebruiker door een 'hoge' TCP-poort te openen en andere gebruikers op het systeem om te leiden naar een adres als 'http://localhost.example.nl:49152/'. Omdat de adressen www.example.nl en localhost.example.nl hetzelfde basisdomein hebben, krijgt de kwaadwillende gebruiker bij het openen van de verbinding naar localhost.example.nl (127.0.0.1) ook de cookies voor www.example.nl toegestuurd", aldus SIDN.

Om dergelijke situaties te voorkomen roept de stichting houders en beheerders op om hun domeinnamen te controleren op de aanwezigheid van localhost-labels en deze daar volledig te verwijderen.

 

bron: https://www.security.nl