Проект GNU внёс в IETF предложение RFC 9498 — очередной замены DNS: децентрализованной, повсеместно шифрованной, обеспечивающей приватность пользователей и неподделываемость записей системы доменных имён GNS. Учитываются недостатки прежних попыток «санации» DNS: DNSSEC, dnscrypt, DoT, DoH.

Предложение было разработано силами и на средства голландского фонда NLnet, а также с привлечением энтузиастов из проекта GNUnet, в котором уже содержится реализация GNS.

>>> Анонс на сайте GNUnet

Специалисты из JSOF research labs сообщили о семи новых уязвимостях в DNS/DHCP сервере dnsmasq. Сервер dnsmasq весьма популярен и используется по умолчанию во многих дистрибутивах linux, а также в сетевом оборудовании Cisco, Ubiquiti и прочих. Уязвимости Dnspooq включают в себя отравление DNS-кэша, а также удаленное выполнение кода. Уязвимости исправлены в dnsmasq 2.83.

( читать дальше... )

>>> Подробности

Минкомсвязи утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы должны будут в течение года хранить информацию о пользователях и обеспечивать время отклика не более 100 мс. Минэкономразвития предупреждает, что данные требования приведут к затратам на десятки миллиардов.

Оригинал новости: https://www.cnews.ru/news/top/2020-01-14_vlasti_utverdili_trebovaniya

Замечания Минэкономразвития рекомендуются к прочтению, как и текст самого приказа.

>>> Подробности

24 сентября 2019 г. на сайте разработчика появилась запись о релизе DNS-сервера KnotDNS 2.8.4. Разработчик проекта — чешский регистратор доменных имён CZ.NIC. KnotDNS является высокопроизводительным DNS-сервером, поддерживающим все возможности DNS. Написан на языке C и распространяется под лицензией GPLv3.

Для обеспечения высокой производительности обработки запросов применяется многопоточная, и, по большей части, неблокирующая реализация, хорошо масштабируемая на SMP-системах.

Среди возможностей сервера:

• добавление и удаление зон на лету;
• передача зон между серверами;
• DDNS (динамические обновления);
• NSID (RFC 5001);
• расширения EDNS0 и DNSSEC (включая NSEC3);
• ограничения интенсивности ответов (RRL)

Новшества версии 2.8.4:

• автоматическая загрузка записей DS (Delegation of Signing) в родительскую DNS-зону при помощи DDNS;
• в случае проблем с сетевым соединением входящие запросы IXFR больше не преобразуются в AXFR;
• улучшенная проверка отсутствующих записей GR (Glue Record) с адресами DNS-серверов, определённых на стороне регистратора.

>>> Подробности

С первого февраля 2019 года ответы от серверов имён не поддерживающих RFC 6891 будут считаться нелегитимными. Как написано на сайте DNS flag day, публичные резолверы уберут «костыли» необходимые для взаимодействия со «сломанными» серверами.

( читать дальше... )

>>> Подробности

О необходимости поиска новых источников финансирования сообщил представитель топ-менеджмента ICANN в ходе телефонной конференции и онлайн-презентации стратегии ICANN.

Консолидация на рынке, снижение темпов роста числа регистраций доменных имен верхнего уровня, а также неопределенность, связанная с общими доменами верхнего уровня, оказывают давление на возможность ICANN поддерживать растущие потребности и запросы глобального сообщества, управляющего корпорацией", – говорится в презентации.

Как полагают в ICANN, в ближайшие пять лет доходы организации от продажи доменов останутся на прежнем уровне или даже сократятся, в то время как расходы на поддержку существующей многосторонней модели управления и новые технологии растут и будут расти.

>>> Подробности

Разработчик Canonical Крис Колсон сообщил об обнаружении критической уязвимости в системном менеджере systemd. Атакующий может удалённо спровоцировать переполнение буфера, что ведёт к выполнению произвольного кода.

Уязвимость, получившая идентификатор CVE-2017-9445, кроется в функции dns_packet_new из состава systemd-resolved. Особым образом сформированный DNS-ответ может привести к падению systemd-resolved, когда тот пытается получить ответ от DNS-сервера, контролируемого злоумышленником. В итоге, чрезвычайно большой ответ переполняет память, позволяя выполнить произвольный вредоносный код.

Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

Отслеживать появление патчей в Ubuntu и Debian можно по ссылкам:

https://www.ubuntu.com/usn/usn-3341-1/

https://security-tracker.debian.org/tracker/CVE-2017-9445

>>> Подробности

Компания Ланет Нетворк сделала общедоступным код демона для балансировки UDP-трафика рекурсивного DNS — dnsbalancer. Демон используется для распределения клиентских DNS-запросов между многочисленными рекурсивными DNS-серверами с целью балансировки нагрузки и повышения отказоустойчивости кластера рекурсивного DNS.

Возможности dnsbalancer'а:

• поддержка IPv4 и IPv6;
• поддержка множества фронтендов и бекендов одновременно;
• слежение за доступностью бекендов, игнорирование недоступных бекендов;
• работа в многопоточном режиме;
• поддержка правил обработки DNS-запросов с использованием регулярных выражений и выполнением различных действий над клиентскими запросами;
• ведение статистики по фронтендам, бекендам, типам запросов и задержкам ответов.

Демон способен обрабатывать десятки тысяч запросов в секунду на виртуальной машине с несколькими ядрами. Код демона работает только под управлением ядра Linux версии 3.9 и выше.

>>> Исходный код

В системной библиотеке Glibc обнаружена серьёзная уязвимость СVE-2015-7547. Переполнение буфера приводит к выполнению произвольного кода при получении специально сформированного ответа от DNS-сервера. Злоумышленник может достичь этого несколькими путями, например, с помощью MitM-атаки с подменой ответа DNS-сервера или захвата самого DNS-сервера.

Сообщение об ошибке, в результате анализа которого и удалось обнаружить уязвимость, было отправлено ещё в середине прошлого года. Уже подготовлен рабочий пример эксплоита. Обновления, закрывающие уязвимость, выпущены для RHEL и Debian.

В качестве одной из мер безопасности можно использовать DNSCrypt, надёжно защищающий от MitM-атак и подделки ответов DNS-сервера.

>>> Подробности

Dnsmasq — лёгкий, легко конфигурируемый DNS, DHCP и TFTP сервер, спроектированный обеспечивать доменными именами (и опционально DHCP и TFTP) небольшие сети. Он может обеспечивать именами локальные машины, которые не имеют глобальных DNS-записей. DHCP сервер интегрирован с DNS сервером и даёт машинам с IP-адресом доменное имя, сконфигурированное раннее в конфигурационном файле. Dnsmasq поддерживает привязку IP-адреса к компьютеру или автоматическую настройку IP-адресов из заданного диапазона и BOOTP для сетевой загрузки бездисковых машин.

Разработчики позиционируют Dnsmasq, как программу, способную передавать адреса через NAT от модема. Но система так же хорошо функционирует в малых сетях, требует мало ресурсов для своей работы и проще настраивается.

Поддерживаемые платформы включают Linux (glibc или uClibc), BSD и Mac OS X.

Список изменений в версии 2.70

• Исправлен сбой, введённый в версии 2.69, который происходил при запросе TCP, при компилировании с поддержкой DNSSEC и при работе с отключенным DNSSEC.
• Исправлена регрессия, нарушающая функциональность ipset.

Скачать

>>> Подробности

Майский постинг на «Bits from the Debian Project Leader» включает в себя уведомление о том, что у домена debian-multimedia.org — который когда-то был популярным сайтом репозитория Debian — истёк срок регистрации, и этот домен был «захвачен» неизвестным лицом. Если пользователи Debian имеют ссылки на этот сайт в своей конфигурации APT, то сейчас самое хорошее время, чтобы избавиться от них. Как говорит Лукас Нуссбаум [Lucas Nussbaum]: «Это хороший пример важности использования криптографии для защиты APT репозиториев (и, что важно при не добавлении ключей „вслепую“).»

>>> Подробности

К приёму оплаты биткоинами присоединилась компания Namecheap, являющаяся доменным регистратором. Эта компания стала первым мощным доменным регистратором, принимающим этот метод оплаты, и пятым крупнейшим сайтом в мире, принимающим биткоины.

>>> Подробности

Петер Сунде (Peter Sunde), один из сооснователей The Pirate Bay, хочет создать децентрализованную альтернативную систему DNS. Основная идея — это неподконтрольность ICANN или какой-либо подобной организации и функционирование как p2p сеть. При построении будут максимально использоваться существующие технологии мира DNS, которые будут адаптироваться с учётом децентрализованности.

Основной мотив — борьба с цензурой, которая стала заметна в последнее время. Сейчас ведётся активное обсуждение в IRC.

>>> Подробности

После нескольких релиз-кандидатов вышла новая версия рекурсивного DNS сервера PowerDNS, легкой альтернативы BIND (в PowerDNS recursor отсутствуют возможности авторитативного DNS сервера, они были выделены в отдельный проект PowerDNS nameserver )

В новой версии Recursor:

• Добавлен пакетный кеш улучшающий быстродействие;
• поддержка многопоточности для достижения максимальной производительности.
• Улучшения в скриптинге Lua (добавлены pdnslog() для записи в лог, возможность настройки таймаута для больших скриптов).
• Улучшения в конфигурабельности (настройка максимального TTL в том числе и для негативных ответов, таймаута для запроса).
• Много исправлений ошибок в сборке и функциональности, в частности для CentOS , FreeBSD , Solaris, Glibc 2.7, старых версий GCC.

полный список изменений можно найти здесь

>>> Страница загрузки на сайте проекта

Увидел свет первый стабильный релиз новой ветки DNS-сервера BIND 9.7, основные улучшения в которой направлены на упрощения конфигурирования и обслуживания DNSSEC.

Главные новшества:

• Реализована опция 'auto-dnssec' для осуществления полностью автоматического создания цифровой подписи для динамически конфигурируемых зон - ключи для подписи будут созданы автоматически и подписаны;
• Упрощен процесс настройки расширения DLV (NSSEC Lookaside Validation), добавлена поддержка элемента конфигурации «dnssec-lookaside auto;», который позволяет избежать некоторых ручных манипуляций с dlv.isc.org;
• Для упрощения конфигурирования DDNS (Dynamic DNS) добавлена новая утилита командной строки ddns-confgen;
• Для named реализована опция «attach-cache», позволяющая привязать несколько представлений зоны (view) к общему кэшу;
• Добавлена защита от "DNS rebinding" атак;
• Изменены параметры по умолчанию, используемые при генерации ключей утилитой dnssec-keygen - без явного указания теперь генерируется 1024-битный ключ RSASHA1, а при указании опции "-f KSK" - 2048-битный ключ RSASHA1;
• Поддержка определенной в RFC 5011 технологии автоматического обновления доверительных якорей (Trust Anchors);
• Режим умного подписывания зон (dnssec-signzone -S), на основе доступных мета-данных определяющий какие ключи нужно использовать для заданной зоны;
• В libdns представлено предназначенное для использования в сторонних программах новое API, учитывающее особенности работы DNSSEC;
• Улучшена поддержка PKCS#11, включая поддержку аппаратных HSM-модулей Keyper и возможность явного выбора использования для работы движка OpenSSL.

В анонсе также сообщается, что в редких случаях при выполнении DNSSEC проверок наблюдается утечка памяти. Патч для решения проблемы уже создан, но к сожалению он не успел войти в состав BIND 9.7.0 и будет представлен только в версии 9.7.1.

>>> Взято с OpenNet

Вышла финальная версия OpenDNSSEC - открытого инструмента обеспечения безопасности DNS.

OpenDNSSEC охватывает весь процесс DNSSEC, включая управление ключами безопасности, и значительно упрощает процедуру подписания зон. Программа представляет собой единое расширяемое решение, которое может быть легко интегрировано в существующую систему без необходимости в больших изменениях в инфраструктуре.

Особенности:

• Данные хранятся в HSM, доступ к ним происходит с использованием PKCS#11;
• Доступна SoftHSM - программная эмуляция HSM;
• Ключи могут быть использованы для нескольких зон с целью экономии места на HSM;
• Поддержка подписей RSA/SHA1 и SHA2;
• Лицензия - BSD.

Программа доступна для всех Unix-подобных операционных систем и подходит для работы как с большими зонами (например, домены верхнего уровня), так и с множеством малых (хостинг, ISP).

К созданию OpenDNSSEC причастны такие организации, как .SE, NLnet Labs, Nominet, SIDN и SURFNet.

Домашняя страница

>>> Подробности

Найдена очередная удаленная уязвимость в популярном сервере протокола DNS - Bind 9.

При получении специально созданного запроса на dynamic dns update (спецификация RFC 2136), сервер bind вылетает со следующим сообщением:

db.c:659: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed
exiting (due to assertion failure).

Стоит заметить, этой уязвимости подвержены все сервера bind, которые сконфигурированы мастером хотя бы для одной зоны. При этом не важно, разрешены ли dynamic updates, достаточно просто быть мастером. ACL на бинде вас тоже не спасет.

На сайте ISC доступны патчи и обновленные архивы исходников. В сети циркулирует публичный эксплойт, так что всем рекомендуется обновиться как можно раньше.

>>> Подробности

Djbdns сломан! Его автор, доктор Dan Bernstein обещал выплату гонорара в 1000 долларов тому, кто найдет уязвимость в его программе. Её таки нашли. DNS-сервер Djbdns имеет уязвимость в кеше, которую можно использовать, послав один специально сформированный пакет.

>>> Подробности

На стандартных DNS серверах невозможно сделать сервис парковки доменов RU, так как это сделано на parking.nic.ru

Легкий DNS сервер wildcarddns позволяет отдавать для любых запросов одни и те-же NS сервера, на которых идет парковка.

>>> Информация о wildcarddns

Открытая Сеть Корневых Серверов (Open Root Server Network - ORSN) закрывается. После примерно шести лет работы сеть будет выключена в новогоднюю ночь. Это слова одного из координаторов проекта - Пола Викси.

В объявлении о закрытии говорится, что причиной этому послужила смена интересов группы и в частности недостаток добровольцев для развёртывания и поддержки новой DNSSEC системы для ORSN. Это сопровождалось полемикой о том, кто будет контролировать главные ключи от новой DNSSEC системы.

ORSN рекомендует своим пользователям, среди которых есть несколько значительных европейских Интернет провайдеров, переключиться обратно на корневые сервера, управляемые ICANN.

>>> Подробности