I hope astaro patches their dns soon

I believe it was mentioned that the fix is in 7.300

let me rephrase..i hope they release a DNS patch sooner than 7.3 considering the exploit is now in the wild.

let me rephrase..i hope they release a DNS patch sooner than 7.3 considering the exploit is now in the wild.

I just finished testing to quell my own paranoia, and www.doxpara.com reports my ASG as "appears to be safe" I'm running 7.201, and have only one DNS forwarder set to point to OpenDNS. (208.67.222.222) 

I also changed my forwarder to point to a non-patched public DNS server, 4.2.2.1, and it then reported as being vulnerable. This seems to be different to what some commentors said on the previous DNS thread. I wonder if they still had forwarders from their ISP listed? 

Just to be sure, I repeated the test several times, on a couple different networks/asgs and the results were the same in each case. Astaro does NOT appear to be vulnerable unless you point it to a non patched DNS server.

Also, I just tested with 7.260, and even pointing at the vulnerable 4.2.2.1 dns server, it returns as secure on doxpara.com

In unpatched servers, such as 7.201, you're only safe if you use a safe upstream server, e.g. opendns.

Kaminsky says that Verizon broadband and Comcast have patched, but that Timewarner, et al. are still patching.
4.2.2.x is Verizon/GTE, but maybe not part of Verizon broadband.

Comcast and TW have been doing wonky, insecure (Cross-Site Scripting in error pages) things with DNS lately, so it may be better to just switch to OpenDNS (I did).
http://blog.wired.com/27bstroke6/2008/04/isps-error-page.html

BTW, if you use OpenDNS, and you want NXDOMAIN returned for non-existent domains, you have to create a (free) account and change an option.
This may be important, depending on how you do spam filtering, etc.

Barry

Tick tock, Astaro.

As crashtestdummy stated, it is resolved in the current 7.300 beta (7.260).

As crashtestdummy stated, it is resolved in the current 7.300 beta (7.260).

Just about everyone else has patched their production codebase (Apple being a notable exception).

Are Astaro customers really expected to run beta versions to obtain basic security patches?

I have to agree... after this much time since the DNS announcements, a beta is not acceptable.

Also, I was under the impression that 6.3 was still supported for security-related issues.
I know I'm still paying for support on 6.x.

The only reason I'm not a lot more upset right now is that the network behind ASL doesn't rely on DNS enough for dns spoofing to be able to severly affect us.

Barry

Hi there,

regarding the DNS vulneribility, please contact Astaro Support (support@astaro.com for EMEA customers; supportus@astaro.com for APAC). 

They will offer you a package which will fix the issue for ASG 7.2 and 7.3 BETA.

Best regards,

Dominic Schmidl

I think that there will be a 7.2xx patch release to deal with this DNS issue.  7.300 is due in mid-August, so this should mean much sooner than that.  (Hmmm, the joke of the four great lies springs to mind.)

Best Regards,

Keep in mind that many big vendors have all had months to work on this, Astaro has had a couple of weeks.  Astaro did not get advanced notification like ISC, Microsoft, Cisco, etc.  

Also, unlike "desktop" *nix distros, patching or swapping out the DNS server in a UTM requires a fair amount of review and testing- for example the integration of DNS and directory services, particularly AD, needs thorough regression testing with new DNS servers before turning it loose on customers.

I know the development team is working on this, but I do not know when updates will be released.

Short term, there are mitigation techniques to address the problem- all of your internal DNS servers are patched, right? Point to them or OpenDNS.

Note: I am not downplaying the significance of this, just offering a different perspective on the issue.