I hope astaro patches their dns soon

I believe it was mentioned that the fix is in 7.300

let me rephrase..i hope they release a DNS patch sooner than 7.3 considering the exploit is now in the wild.

As crashtestdummy stated, it is resolved in the current 7.300 beta (7.260).

Just about everyone else has patched their production codebase (Apple being a notable exception).

Are Astaro customers really expected to run beta versions to obtain basic security patches?

I have to agree... after this much time since the DNS announcements, a beta is not acceptable.

Also, I was under the impression that 6.3 was still supported for security-related issues.
I know I'm still paying for support on 6.x.

The only reason I'm not a lot more upset right now is that the network behind ASL doesn't rely on DNS enough for dns spoofing to be able to severly affect us.

Barry

Hi there,

regarding the DNS vulneribility, please contact Astaro Support (support@astaro.com for EMEA customers; supportus@astaro.com for APAC). 

They will offer you a package which will fix the issue for ASG 7.2 and 7.3 BETA.

Best regards,

Dominic Schmidl

I think that there will be a 7.2xx patch release to deal with this DNS issue.  7.300 is due in mid-August, so this should mean much sooner than that.  (Hmmm, the joke of the four great lies springs to mind.)

Best Regards,

Keep in mind that many big vendors have all had months to work on this, Astaro has had a couple of weeks.  Astaro did not get advanced notification like ISC, Microsoft, Cisco, etc.  

Also, unlike "desktop" *nix distros, patching or swapping out the DNS server in a UTM requires a fair amount of review and testing- for example the integration of DNS and directory services, particularly AD, needs thorough regression testing with new DNS servers before turning it loose on customers.

I know the development team is working on this, but I do not know when updates will be released.

Short term, there are mitigation techniques to address the problem- all of your internal DNS servers are patched, right? Point to them or OpenDNS.

Note: I am not downplaying the significance of this, just offering a different perspective on the issue.

This is what I got when I submitted a ticket asking for a patch.

I apologize for being unable to resolve this issue with you at this time as
our licensing records indicate that your license is for "Home Use only", this
support service is for our commercial customers only. For Home Users we
provide several online resources such as our knowledgebase www.astaro.com/kb
and our UBB www.astaro.org  Also, a Home Use license is strictly for
non-commercial use, our commercial packages start at a very attractive price
of $290. For further information on commercial licensing please contact Astaro
Sales salesus@astaro.com.

For DNS the DNS proxy forwarder should be set to a currently patched upstream
DNS server which eliminates the vulnerbility.

We are adding in the new bind information in up2date 7.300 to ensure all
system checks even when the upstream DNS server is vulnerable.

Thanks, guys.  Nothing I didn't already know.

7.202 was released today, it resolves this (and other) DNS issues.  No reboot is required with this update.

Hi there,

the Update 7.202 was released yesterday evening and contains the fix for CVE-2008-1447.

Best,
Dominic

It looks like the DNS fix finaly made its way to v6...

Yes, 6.314 addresses the DNS vulnerability- as long as you are using secure forwarders.  Do not trust your ISP's (or anyone else's) DNS without running tests yourself.

Yes, 6.314 addresses the DNS vulnerability- as long as you are using secure forwarders.  Do not trust your ISP's (or anyone else's) DNS without running tests yourself.