BIND 9 DNS Cache Poisoning, но не в OpenBSD

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Какой пафос!
Да будет флейм!

sdio (26.07.2007 8:42:40)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Какой пафос!

Не вижу пафоса. Ребята из команды разработчиков OpenBSD действительно проделывают большую работу, анализируя исходники на предмет уязвимостей.

Респект!

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

а в марте сего года пользователи OpenBSD тоже пиво пили?

"Several versions of the OpenBSD OS contain flaws related to processing IPv6 packets. Researchers at Core Security Technologies Inc. identified the affected versions as 3.1, 3.6, 3.8, 3.9, 4.0, and 4.1.

The vulnerability is exploited by sending a fragmented IPv6 packet to the target system. This can cause a buffer overflow condition."

geek (26.07.2007 10:35:18)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Лучше бы автор новости научился изясняться :)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

geek, хватит троллить и провоцировать.

То, что где-то есть ошибки в работе IPv6, для подавляющего большинства людей, ошибкой не является. Просто потому, что народ сидит на IPv4.

stellar (26.07.2007 10:48:58)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Очень жаль, что разработчики других систем не настолько серьезно подходят к вопросам безопасности, как ребята из OpenBSD.

stellar (26.07.2007 10:50:39)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

tt

blessed (26.07.2007 10:55:28)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Пользователь Линукса сладкр зевнул, и продолжил колбасить WAS Startup Bean под эклипсой.

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Свое нормальное (ядро) написать не могут, хоть чужие программы поанализируют. Определенно, от OpenBSD есть польза.

dm1024 (26.07.2007 11:20:37)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

>>...В ходе такого анализа, при импортировании BIND 9 было изначально решено изменить одну из опций, которая была установлена по умолчанию. В результате, когда пользователи других систем сегодня вынуждены обновлять свой BIND 9 любой версии на BIND 9.2.8-P1, BIND 9.3.4-P1, BIND 9.4.1-P1 или BIND 9.5.0a6, пользователи OpenBSD идут за пивом.

Прикольная аргументация. Пользователи систем как бы не читают докоффф. У них вишь ли все опции по умолчанию. И выводы далеко идущие. ИМХО степень защищенности системы напрямую зависит от мозга защищающего.

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Кто то ревльно это юзает на десктопах? Или это фантастика?

Grindz (26.07.2007 11:29:03)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Анонимуз включи моск.

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

>geek, хватит троллить и провоцировать.

пистеть команды не было. На каждое заявление бздунов о безошибочности - найдется кучка говна, куда их можно ткнуть рылом

geek (26.07.2007 11:32:25)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Well, your all can troll a bit more......but YOU have to patch this bug, NOT me!

Facts.

//dope over the rainbow

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

>...ответил на вопрос, тревожащий умы многих пользователей ЛОРа

Оййй...всю неделю не сплю, понос, рвота...и все из за того что меня тревожит этот вопрос...

:D

iron (26.07.2007 11:46:45)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

не зря у опена символ - надувшаяся рыба
таких надутых снобов искать и искать

Tester (26.07.2007 11:48:04)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Кто то ревльно это юзает на десктопах? Или это фантастика?

Конечно, а что в этом такого странного?

http://www.linux.org.ru/view-message.jsp?msgid=1596310

http://www.linux.org.ru/view-message.jsp?msgid=1283869

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

+1 :)))

AcidumIrae (26.07.2007 12:45:58)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Well, your all can troll a bit more......but YOU have to patch this bug, NOT me!

Непонятно как-то. Если это реальная бага в коде, то патчить её надо независимо от того включена опция или нет. Вдруг придётся включить? Или всё-таки защищённость OpenBSD базируется не только на правке конфигов?

Anoxemian (26.07.2007 12:55:35)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

>На каждое заявление бздунов о безошибочности - найдется кучка говна, куда их можно ткнуть рылом

Всё познаётся в сравнении, вот и сравни разные ОС и увидишь, где эта куча больше. Потом приведи результаты сравнения, чтобы перестать быть голословным, а то уже правительственные дебаты напоминает, чесслово..

kranky (26.07.2007 13:05:26)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

+1

В мире нету ничего совершенного (c)

blessed (26.07.2007 13:08:55)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Лучше бы автор новости научился изясняться :)

А это не в первый раз. ОпенБЗД'шники постоянно свои новости весело приподносят, и, имхо, это помогает.

Или ты предпочтешь, чтоб тебе новость изложил "менеджер румяным ...."?

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Прикольная новость - разработчик OpenBSD похвалил сам себя :)

А пользователи других систем не обновляются, а просто меняют одну опцию в конфиге и продолжают пить пиво

lester (26.07.2007 13:59:00)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Bind - системообразующий софт, используемый в мире Юникса. И очень хорошо, что его безопасностью занимается команда Тео. За что им очень многие скажут спасибо, в отличие от линупсоидов, прикручивающих новомодные перделки к ядру.

Sun-ch (26.07.2007 14:00:46)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Debian Etch, bind9 обновился (http://security.debian.org)
Обновление заняло 20сек. Ну как за пивом сходить успели?

sdio (26.07.2007 14:17:33)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Я позавчера сделал yum update и тоже пошёл за пивом^Wкефиром.

birdie (26.07.2007 14:28:01)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Bind - системообразующий софт...

Был когда-то давным давно. Что bind какашка я уже 5 лет как в курсе, и для кеширования он просто непригоден. djbdns работает устойчиво, в отличии от, и ошибок там давно не было. Для authorized сейчас очень хорошо подходит power dns. В общем, как обычно, нет bind -- нет проблемы.

Casus (26.07.2007 14:30:11)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

гыгы, у меня как рекурсор djbdns, пойду пивка тож хлебну

borisych (26.07.2007 14:36:44)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Из 13 корневых серверов (с A по M), только aos.arl.army.mil не использует bind.

Sun-ch (26.07.2007 14:40:49)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Кто то ревльно это юзает на десктопах?

bind? Я использую. Как-то по привычке настроил его в кеширующем режиме. ;-)

atrus (26.07.2007 14:44:29)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Да, действительно сложно пересобрать по спеку новый bind и поставить. Просто неподьемная работа.

Valmont (26.07.2007 14:46:42)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

ох и горазд же ты врать

http://en.wikipedia.org/wiki/Root_nameserver

Tester (26.07.2007 14:49:44)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Это называется не "вранье", а неточность. Информация имеет свойство устаревать и к тому же не факт, что на википедии просто прям самая свеже-точная инфа.

Valmont (26.07.2007 14:55:09)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

а обратно разработчикам они патчи не отсылают? так бы все за пивом шли а не только опенбсд-шники

alt0v14 (26.07.2007 15:03:51)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

Ошибка на bind опасная ? Выполнение кода или отказ ? Что-то я понять не могу.

vtVitus (26.07.2007 15:25:13)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Ошибка на bind опасная ? Выполнение кода или отказ ? Что-то я понять не могу.

Очень опасная. Вызывает отказ сходить за пивом.

Lumi (26.07.2007 15:33:35)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Информация имеет свойство устаревать и к тому же не факт, что на
> википедии просто прям самая свеже-точная инфа.

Если там не свежая информация, то процент не-бинд серверов еще выше.
Разнообразить софт ДНС-серверов была признано архиважной задачей еще года 3 назад, после крупной атаки на корневые сервера. видимо инфа у саныча трехлетней давности.

Tester (26.07.2007 15:41:06)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> А пользователи других систем не обновляются, а просто меняют одну опцию в конфиге и продолжают пить пиво

Мне кажется, что это больше похоже на опцию, которая указывается при compile-time (или даже при наложение отдельного патча, переносящего фичу из старых версий BIND), но я так и не нашил никаких патчей, так как сайт ISC оставляет желать лучшего, а для OpenBSD, ясное дело, патчей под данную проблему не намечается. ;)

km (26.07.2007 16:13:42)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> а обратно разработчикам они патчи не отсылают? так бы все за пивом шли а не только опенбсд-шники

В данном случае, ситуация больше похожа на то, что товарищи из BIND решили использовать новый алгоритм, предварительно не проверенный на безопасность. ИМХО, читая истории djb про BIND, я очень сомневаюсь, что товарищей из BIND интересуют патчи, которые отключают и так никому не нужные фичи BIND'а, которые ISC (производитель BIND'а) рекомендует использовать по умолчанию. ;)

km (26.07.2007 16:23:20)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Ошибка на bind опасная ? Выполнение кода или отказ ? Что-то я понять не могу.

В заголовке же написано! DNS Cache Poisoning. ;)

http://en.wikipedia.org/wiki/DNS_cache_poisoning

km (26.07.2007 16:25:39)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

"Гениальное предвидение товарища djb в очередной раз блестяще оправдалось - BIND есть, был и будет уязвимым глюкалом" что ли?

sv75 (26.07.2007 19:14:09)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Кто то ревльно это юзает на десктопах? Или это фантастика?

ну я например

beastie (26.07.2007 20:36:41)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

km, опять грязный пиар OpenBSD. Бинд юзают многие провайдеры из-за инертности мышления или даже незнания.

В качестве кеширующего рекурсивного ns бинд ужасен. 800-1000 рекурсивных запросов в секунду и бинду среднее время ответа возрастает сначала до сотен миллисекунд, а потом и до десятков секунд.

Причём, его поведение примерно одинаково как на niagara(8 cores)+8Gb ram(Solaris 10), так и на двухпроцессорном x4100(opteron 2.2GHz)+4Gb ram(freebsd 6.2).

Везде бинд был собран с тредами.

Реально под такой нагрузкой живёт powerdns-recursor (его стошнило когда он отожрал почти всю физическую память и полгига свопа).

2km: лучше бы привёл результаты openbsd в sysbench(oltp) на 2/4/8 ядрах. В кач-ве СУБД - mysql(Т.е. тот самый тест Джеффа Робертсона). А орать "мы самые секурные" глупо без упоминания производительности.

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

поделитесь информацией, от чего именно "стошнило" powerdns-recursor? Количество запросов превысило 1000 в сек. или память течёт? У меня есть острая проблема как раз в производительности dns. BIND не падает и память не жрёт, но тупо не успевает :(

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> Бинд юзают многие провайдеры из-за инертности мышления

А я что, спорю? ;) Вопрос в другом -- BIND до сих пор юзают.

> А орать "мы самые секурные" глупо без упоминания производительности.

Здрасьте, а кому нужна производительность, если систему всё равно нельзя показать наружу? Я никогда и не утверждал, что OpenBSD работает быстрее чем альтернативные системы. Здесь акцент на другом -- OpenBSD работает, и по умолчанию имеет все необходимые встроенные программы и поддерживает большое количество железа, которое не поддерживают другие системы. Например, во FreeBSD 7.0-CURRENT до сих пор имеются какие-то проблемы с поддержкой видео в G965, а в OpenBSD 4.1-current уже давным-давно всё работает (как минимум с мая 2007, когда я приобрёл данную машину). Можно приводить много других примеров -- опять же, про wireless. В итоге -- использовать OpenBSD как в качестве десктопа, так и в качестве сервера намного проще и приятнее, нежели альтернативные открытые системы.

Работа по оптимизации SMP тоже ведётся, вполне вероятно, что труд товарищей из NetBSD нам здесь тоже поможет, хотя я пока в эти дела не вникал.

km (26.07.2007 23:50:00)

подробности о BIND DNS Cache Poisoning от Theo de Raadt -- в OpenBSD данную ошибку исправили ещё в 1997-ом году!

К беседе присоединился Theo! [0]

Смысл сказанного: в BIND ещё в 1997 году была уязвимость [1], в OpenBSD её исправили, а товарищи из ISC решили её исправить по своему, в результате и появилась данная ошибка в безопасности, о которой сегодня идёт речь. Товарищи из OpenBSD несколько раз предупреждали ISC о том, что ISC реализация не является наилучшей, но как нетрудно предположить, ISC данные рекомендации игнорировал.

В результате, в OpenBSD просто портировали свой же патч из предыдущей версии BIND в BIND 9.

Так что в новости слово "опций" скорее всего следует читать как "фич". ;)

[0] http://www.undeadly.org/cgi?action=article&sid=20070725193920&pid=15

[1] http://www.openbsd.org/advisories/res_random.txt

km (27.07.2007 0:54:17)

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

>поделитесь информацией, от чего именно "стошнило" powerdns-recursor?

я же говорю: он отожрал всю физическую ram и залез в swap.
Я выставил заведомо безумный лимит по числу записей в кеше
(500 млн) чтобы посмотреть его поведение в условиях близких к
DoS-атаке и большом кэше.

До момента пока precursor не залез в своп он беспроблемно отвечал
при 1500-2000 запросов в сек(при среднем времени ответа в 7-12мс).

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

днс-запросы генерились dnsperf'ом + простенькая программка на C,
плюющая в stdout запросы.

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

>Здрасьте, а кому нужна производительность, если систему всё равно нельзя показать наружу?

не все сервисы публичны. Ту же mysql вы не будете выставлять наружу?

>OpenBSD работает, и по умолчанию имеет все необходимые встроенные программы и поддерживает большое количество железа, которое не поддерживают другие системы.

Ага... вот только как-то крайне выборочно она поддерживает.

>Например, во FreeBSD 7.0-CURRENT до сих пор имеются какие-то проблемы с поддержкой видео в G965

Понимаете, эту проблему, как новый функционал pf решат просто - портанут из openbsd.

А вот ту же smp и массу других вещей полукопипастом не решить.

>Работа по оптимизации SMP тоже ведётся, вполне вероятно, что труд товарищей из NetBSD нам здесь тоже поможет

как уже говорили в соседних ветках, smp - это не кусок кода.
smp - это инфраструктура, пронизывающая всё ядро.

Re: BIND 9 DNS Cache Poisoning, но не в OpenBSD

> не все сервисы публичны. Ту же mysql вы не будете выставлять наружу?

Ну так MySQL лучше всего идёт на FreeBSD, я здесь даже и не спорю. ;)

> Ага... вот только как-то крайне выборочно она поддерживает.

Ну почему это выборочно? Железки с документаций поддерживаются в первую очередь, но и reverse engineering закрытых железок не отстаёт. Примером могут выступать всё те же беспроводные драйвера -- поддерживаются и Realtek с Ralink'ом, и Intel с Atheros'ом.

> smp - это инфраструктура, пронизывающая всё ядро.

Это понятно, но у OpenBSD и NetBSD остаётся определённое количество общего кода в ядре, так что ИМХО некоторая польза OpenBSD всё-таки может быть. Да и в конце концов -- прогресс движется конкуренцией! ;)

km (27.07.2007 5:25:56)