LINUX.ORG.RU

Критическая уязвимость в BIND

 , , ,


0

0
Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS-серверов.

Проблеме присвоен максимальный уровень опасности.

Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS.

>>> Доступные обновления

★★

Проверено: Shaman007 ()
A может всё впорядке с серверами, просто у Дениса с головой проблема? :D
anonymous
()
Ответ на: комментарий от anonymous
>A может всё впорядке с серверами, просто у Дениса с головой проблема? :D

Унылый тролль

anonymous
()
Ну всё, интернету теперь точно капец.
Laz ★★★★★
()
Линукс - сила!
anonymous
()
nomad.jpg

Срали мы на эти "поизонинги" - у нас свои кеширующие DNS-сервера.

anonymous
()
Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.
Macil ★★★★★
()
лол, М$-вцы спалились! а я то думал у них своя супер-ынтерпрайз разработка )
anonymous
()
мда.. интересно :) чтоли проапдейтиться везде
Komintern ★★★★★
()
Ответ на: комментарий от anonymous
Поправьте новость. Подвержены уязвимости всего 3 линейки продуктов:

Microsoft Windows DNS Server

ISC BIND

BIND version 8

----

BIND версии 9, этой уязвимости не имеет.

----

pazak
()
djbdns как я понял тоже не уязвим, добавьте это к тексту новости, просто это важный момент (его многие для кэши используют).
Teak ★★★★★
()
Еще раз для тех, кто в танке: ДАННАЯ УЯЗВИМОСТЬ ЗАТРАГИВАЕТ В ЦЕЛОМ ПРОТОКОЛ DNS, А НЕ ТОЛЬКО ЕГО КОНКРЕТНЫЕ РЕАЛИЗАЦИИ!!!

The basis for the vulnerability is inherent in the DNS protocol and not a flaw specific to BIND9, the leading software implementation of the DNS protocol written and distributed by ISC.

http://www.isc.org/index.pl?/about/press/?pr=2008070800

anonymous
()
Ответ на: комментарий от anonymous
Весь DNS протокол гавкнулся. Хорошо-э.

В /etc/hosts уязвимости нет!

anonymous
()
В ubuntu уже обновление доступно
BeerSeller ★★★★
()
Да... этот говяный Интернет стал прогнивать уже. Еще чуть-чуть и ему будет копец. Швеция с их обязательным просмотром траффика да G8 все пилят и пилят. Такой говноинтернет мне не нужен.
anonymous
()
Не поддержал традицию, сходил по ссылке. Протестил свой DNS. Был уязвим. Сдела apt-get upgrade. Уязвимость пропала. Debian. :-)
Mr_Alone ★★★★★
()
Ответ на: комментарий от lv77
DJBDNS не уязвим а значит дело не только в протоколе но и в реализации) живем спокойно, ост латать)
anonymous
()
Ответ на: комментарий от anonymous
> G8 все пилят и пилят.

запилите обратно мои интернеты!

anonymous
()
/bind button5+mouse2? Чего такого-то критичного?
anonymous
()
Ответ на: комментарий от Macil
>Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Они не тырят код. "Тырить" подразумевает то, что чужое взято без разрешения.

tommy ★★★★★
()
Ответ на: комментарий от Macil
> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Гагага. Чтобы слать запросы с одного порта, а не с разных, много кода нужно стырить?

anonymous
()
Ответ на: комментарий от Macil
> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Juniper ни сколько не скрывает, что JunOS работает поверх BSD. На роутере и в консоль выйти можно.

> А уж сообществу сделали столько хорошего.

Что касается Cisco и Juniper, надо заметить, что кое что делают таки. Если обратить внимание на списки авторов некоторых RFC...
AS ★★★★★
()
провайдерам — боль головная. а держателей зон на своих серверах это никак не касается.
dmiceman ★★★★★
()
Ответ на: комментарий от anonymous
>этот говяный Интернет стал прогнивать уже.

интернет уже не тот?

johan_silver
()
Ответ на: комментарий от dmiceman
>провайдерам — боль головная.

Обновился - и свободен.

madcore ★★★★★
()
Ответ на: комментарий от Macil
>Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

Хорошие художники копируют,
Великие художники воруют! (с) Стив Джобс
Yilativs ★★★★
()
Вообщем впечатление двоякое.
Рекомендуется всем обновиться,
но прямо сейчас и сломя голову это делать не обязательно - по крайней мере для BIND9 точно.
Баги эти известны давно.
Использовать их можно, но сложно.
Просто этот товарищ сложил их все месте и сказал, что если у вас кривая реализация со всеми этими багами, то отравить DNS-кеш для ВАС очень просто - не требуется много перебора.

Ну а вообще конечно стоит нарушить традции и сходить по ссылке.
Почитать чего рекомендуется делать для защиты DNS - все по пунктам расписано.

http://www.kb.cert.org/vuls/id/800113
http://www.us-cert.gov/cas/techalerts/TA08-190B.html
odip ★★
()
Ответ на: комментарий от tommy
>дня 2 назад обновление у дебиана было по поводу bind-а.

дваждую :)

JackYF ★★★★
()
Ну всё, теперь муда^Wхакеры сломают сами себе интернет :)
Lumi ★★★★★
()
Ответ на: комментарий от pazak
> BIND версии 9, этой уязвимости не имеет.

user@server ~ $ rpm -q --changelog bind |head -n 10 * Втр Июн 10 2008 Adam Tkac <atkac redhat com> 9.2.4-28.0.1 <-- (!!!)

- CVE-2008-1447

anonymous
()
Ответ на: комментарий от tommy
такой же смысл как и на любом другом дистре - закрыть дыры почешется Патрик - поставлю пакет, а так, пока заменила только /usr/sbin/named

хотя на нем рекурсия итак закрыта была, кроме локальной

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia
если Патрику не надо пересобирать - значит и вам то же. ведь этот фикс должны были синхронно сделать в разных дистрах/для разных железок - значит было время у него подумать и сделать пакет,
tommy ★★★★★
()
Ответ на: комментарий от tommy
я так не думаю, посмотрим в течении нескольких дней версия в списке уязвимых, этого вполне достаточно чтобы считать что она уязвима и принимать меры, а не уповать на майнтейнера и ждать пока соизволят сделать, я могу на декстопе не особенно спешить с обновлениями, хотя Дебиан Ленни вчера уже bind обновлял кажется

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia
да и мне не сложно скачать несколько метров, сделать ./configure && make и скинуть 1 файлик в /usr/sbin ) остальное не так важно
Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia
Прочитал. Так толком и не понял как можно испортить кэш у сервера, угадав transaction ID. Найдётся добрая душа, которая объяснит?
teferiincub
()
Ответ на: комментарий от Sylvia
ошиблась насчет "вчера"

The following packages have been kept back: libgnomevfs2-bin The following NEW packages will be installed: libdns35{a} The following packages will be upgraded: bind9 bind9-host dnsutils libbind9-30 libisc32 libisccc30 libisccfg30 liblwres30 libvlc0 vlc vlc-nox vlc-plugin-alsa vlc-plugin-esd vlc-plugin-sdl

ну вообщем сегодня уже обновили )

Sylvia ★★★★★
()
Ответ на: комментарий от Macil
> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

они его не тырят, они берут по BSD лиценции)))

anonymous
()
Ответ на: комментарий от black7
>а кавычки то зачем? из любви к шаманству?

Из любви к Pascal и Java. Я C/C++ ненавижу. А вы о чём подумали?
iZEN ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.