SIDN raadt gebruik van localhost.domain.tld aan

E-mail naar de SIDN

Ik heb zojuist onderstaande e-mail gestuurd naar het SIDN support e-mail adres :

From: Paul de Weerd <_____@weirdnet.nl>
To: SIDN Support <support@sidn.nl>
Date: Wed, 26 Mar 2008 21:08:03 +0100
Subject: localhost resource records considered dangerous

Geachte,

Vandaag ontdekte ik dat de 'Nameserver check'[1] service van de SIDN
website een waarschuwing geeft voor het ontbreken van het localhost
resource record. Via deze weg wil ik u informeren over de security
risico's die zijn verbonden aan zulke records en verzoeken deze
waarschuwing op zijn minst te verwijderen maar mogelijk zelfs om te
draaien (waarschuw domeinnaamhouders dit record *niet* op te nemen in
hun zones).

Zoals uit de whois gegevens voor de domeinnaam van mijn e-mail adres
blijkt ben ik ook houder van een .nl domeinnaam. Recentelijk hoorde ik
van de mogelijkheid de 'Nameserver check' online uit te kunnen voeren,
waarop ik direct 'weirdnet.nl' heb getest. Tot mijn grote verbazing
kreeg ik de volgende waarschuwing :

	Warning: "localhost.weirdnet.nl." not defined.
	    The external view of the domain does not list
	    "localhost". That is not a problem, as long as
	    the internal view on the domain has it defined.
	    If you do not use DNS views, you may consider
	    this to be an error.

Mogelijk ten overvloede, voor de zone 'weirdnet.nl' wordt niet gebruik
gemaakt van DNS views. Wat dit betreft zou dit domein dus zelfs
afgewezen worden volgens de huidige controle.

Het aanmaken van non-FQDN localhost entries in nameservers is een
veelgemaakte fout. Waar RFC 1912 in sectie 4.1 specificeert dat
nameservers ten alle tijden 'localhost.' moeten kunnen resolven naar
127.0.0.1, wordt er in dezelfde sectie ook melding gemaakt van de
mogelijke verwarring die een ongekwalificeerde localhost entry zou
kunnen geven.

Hier komt nu bij dat recentelijk Tavis Ormandy van het Google Security
Team een document heeft gepubliceerd met de titel 'common dns
misconfiguration can lead to "same site" scripting'[2], waarin hij
uitlegt hoe localhost entries misbruikt kunnen worden om bijvoorbeeldj
beveiligingsmaatregelen uit RFC2109 (HTTP State Management Mechanism)
te omzeilen.

Aangezien uit Tavis' onderzoek duidelijk blijkt dat localhost entries
schadelijk kunnen zijn, lijkt het mij dat ook het verkapte advies dat
in de waarschuwing van de 'Nameserver check' besloten ligt schadelijk
voor domeinhouders is. Hierom wil ik u verzoeken deze waarschuwing te
verwijderen en zelfs adviseren de 'Nameserver check' zo aan te passen
dat deze domeinhouders juist waarschuwt wanneer zones een 'localhost'
record definieren. Tot slot raad ik u aan om alle deelnemers te
adviseren al hun zones en die van hun klanten te controleren op de
aanwezigheid van localhost records en deze zo spoedig mogelijk te
verwijderen.

Graag hoor ik op korte termijn uw reactie. Deze mail is gepubliceerd
op http://www.weirdnet.nl/misc/sidn-localhost.html 

Met vriendelijke groet,

Paul de Weerd [PDW-RIPE]

[1]: http://www.sidn.nl/ace.php/c,727,778,,,,Nameserver_check.html
[2]: http://seclists.org/bugtraq/2008/Jan/0270.html

-- 
>++++++++[<++++++++++>-]<+++++++.>+++[<------>-]<.>+++[<+
+++++++++++>-]<.>++[<------------>-]<+.--------------.[-]
                 http://www.weirdnet.nl/

En nu maar afwachten. Updates als er meer te melden valt :-)

Update 2 april 2008 :

Vandaag heb ik een reactie van SIDN ontvangen :

In antwoord op uw email m.b.t. de ns-check van SIDN, bericht ik u het
volgende.

Bedankt voor uw melding.

Wij zullen uw opmerking meenemen in het change-management voor de
verdere ontwikkeling van DRS.

Helaas is er nog niets gewijzigd aan de controle zelf.

Update 19 augustus 2008 :

Zojuist heb ik de controle voor mijn eigen domeinnaam nogmaals uitgevoerd. Ditmaal kreeg ik geen waarschuwing. Helaas geeft de controle van een domeinnaam waar 'localhost' wel is gedefinieerd geen waarschuwing.

Update 9 november 2021:

Vandaag heeft SIDN dan eindelijk een advies gepubliceerd om alle localhost-records uit je zones te halen. Ruim 13 jaar na dato. Ik kan zo geen 'nameserver check' meer vinden op de SIDN website, het lijkt er op dat deze functionaliteit verwijderd is (dus ook geen gelegenheid meer om te waarschuwen voor de aanwezigheid van een localhost record); als iemand de 'nameserver check' alsnog vindt, dan hoor ik dat graag!