LINUX.ORG.RU

Критическая уязвимость в BIND

 , , ,


0

0

Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS-серверов.

Проблеме присвоен максимальный уровень опасности.

Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS.

>>> Доступные обновления

★★

Проверено: Shaman007 ()

Re: Критическая уязвимость в BIND

A может всё впорядке с серверами, просто у Дениса с головой проблема? :D

anonymous ()
Ответ на: Re: Критическая уязвимость в BIND от anonymous

Re: Критическая уязвимость в BIND

>A может всё впорядке с серверами, просто у Дениса с головой проблема? :D

Унылый тролль

anonymous ()

Re: Критическая уязвимость в BIND

Ну всё, интернету теперь точно капец.

Laz ★★★★ ()

Re: Критическая уязвимость в BIND

Линукс - сила!

anonymous ()

Re: Критическая уязвимость в BIND

nomad.jpg

Срали мы на эти "поизонинги" - у нас свои кеширующие DNS-сервера.

anonymous ()

Re: Критическая уязвимость в BIND

Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

Macil ★★★★★ ()

Что за шум?

А в чём выражается уязвимость и чем она грозит?

Camel ★★★★★ ()

Re: Критическая уязвимость в BIND

лол, М$-вцы спалились! а я то думал у них своя супер-ынтерпрайз разработка )

anonymous ()

Re: Критическая уязвимость в BIND

мда.. интересно :) чтоли проапдейтиться везде

Komintern ★★★★★ ()

Re: Критическая уязвимость в BIND

решето!

imp ★★ ()
Ответ на: Re: Критическая уязвимость в BIND от anonymous

Re: Критическая уязвимость в BIND

Поправьте новость. Подвержены уязвимости всего 3 линейки продуктов:

Microsoft Windows DNS Server

ISC BIND

BIND version 8

----

BIND версии 9, этой уязвимости не имеет.

----

pazak ()

Re: Критическая уязвимость в BIND

djbdns как я понял тоже не уязвим, добавьте это к тексту новости, просто это важный момент (его многие для кэши используют).

Teak ★★★★★ ()

Re: Критическая уязвимость в BIND

Еще раз для тех, кто в танке: ДАННАЯ УЯЗВИМОСТЬ ЗАТРАГИВАЕТ В ЦЕЛОМ ПРОТОКОЛ DNS, А НЕ ТОЛЬКО ЕГО КОНКРЕТНЫЕ РЕАЛИЗАЦИИ!!!

The basis for the vulnerability is inherent in the DNS protocol and not a flaw specific to BIND9, the leading software implementation of the DNS protocol written and distributed by ISC.

http://www.isc.org/index.pl?/about/press/?pr=2008070800

anonymous ()

Re: Критическая уязвимость в BIND

В ubuntu уже обновление доступно

BeerSeller ★★★★ ()

Re: Критическая уязвимость в BIND

Да... этот говяный Интернет стал прогнивать уже. Еще чуть-чуть и ему будет копец. Швеция с их обязательным просмотром траффика да G8 все пилят и пилят. Такой говноинтернет мне не нужен.

anonymous ()

Re: Критическая уязвимость в BIND

Не поддержал традицию, сходил по ссылке. Протестил свой DNS. Был уязвим. Сдела apt-get upgrade. Уязвимость пропала. Debian. :-)

Mr_Alone ★★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от lv77

Re: Критическая уязвимость в BIND

DJBDNS не уязвим а значит дело не только в протоколе но и в реализации) живем спокойно, ост латать)

anonymous ()

Re: Критическая уязвимость в BIND

/bind button5+mouse2? Чего такого-то критичного?

anonymous ()
Ответ на: Re: Критическая уязвимость в BIND от Macil

Re: Критическая уязвимость в BIND

>Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Они не тырят код. "Тырить" подразумевает то, что чужое взято без разрешения.

tommy ★★★★ ()

Re: Критическая уязвимость в BIND

дня 2 назад обновление у дебиана было по поводу bind-а.

tommy ★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от Macil

Re: Критическая уязвимость в BIND

> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Гагага. Чтобы слать запросы с одного порта, а не с разных, много кода нужно стырить?

anonymous ()
Ответ на: Re: Критическая уязвимость в BIND от Macil

Re: Критическая уязвимость в BIND

> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Juniper ни сколько не скрывает, что JunOS работает поверх BSD. На роутере и в консоль выйти можно.

> А уж сообществу сделали столько хорошего.

Что касается Cisco и Juniper, надо заметить, что кое что делают таки. Если обратить внимание на списки авторов некоторых RFC...

AS ★★★★★ ()

Re: Критическая уязвимость в BIND

провайдерам — боль головная. а держателей зон на своих серверах это никак не касается.

dmiceman ★★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от Macil

Re: Критическая уязвимость в BIND

>Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

Хорошие художники копируют,
Великие художники воруют! (с) Стив Джобс

Yilativs ★★★ ()

Re: Критическая уязвимость в BIND

Вообщем впечатление двоякое.
Рекомендуется всем обновиться,
но прямо сейчас и сломя голову это делать не обязательно - по крайней мере для BIND9 точно.
Баги эти известны давно.
Использовать их можно, но сложно.
Просто этот товарищ сложил их все месте и сказал, что если у вас кривая реализация со всеми этими багами, то отравить DNS-кеш для ВАС очень просто - не требуется много перебора.

Ну а вообще конечно стоит нарушить традции и сходить по ссылке.
Почитать чего рекомендуется делать для защиты DNS - все по пунктам расписано.

http://www.kb.cert.org/vuls/id/800113
http://www.us-cert.gov/cas/techalerts/TA08-190B.html

odip ★★ ()

Re: Критическая уязвимость в BIND

Ну всё, теперь муда^Wхакеры сломают сами себе интернет :)

Lumi ★★★★★ ()

Re: Критическая уязвимость в BIND

% echo 'NO_BIND=true' >> /etc/make.conf

iZEN ★★★★★ ()

Re: Критическая уязвимость в BIND

Патрик чего то не почесался пока.. пересобрала сама

Sylvia ★★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от pazak

Re: Критическая уязвимость в BIND

> BIND версии 9, этой уязвимости не имеет.

user@server ~ $ rpm -q --changelog bind |head -n 10 * Втр Июн 10 2008 Adam Tkac <atkac redhat com> 9.2.4-28.0.1 <-- (!!!)

- CVE-2008-1447

anonymous ()
Ответ на: Re: Критическая уязвимость в BIND от tommy

Re: Критическая уязвимость в BIND

такой же смысл как и на любом другом дистре - закрыть дыры почешется Патрик - поставлю пакет, а так, пока заменила только /usr/sbin/named

хотя на нем рекурсия итак закрыта была, кроме локальной

Sylvia ★★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от Sylvia

Re: Критическая уязвимость в BIND

если Патрику не надо пересобирать - значит и вам то же. ведь этот фикс должны были синхронно сделать в разных дистрах/для разных железок - значит было время у него подумать и сделать пакет,

tommy ★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от tommy

Re: Критическая уязвимость в BIND

я так не думаю, посмотрим в течении нескольких дней версия в списке уязвимых, этого вполне достаточно чтобы считать что она уязвима и принимать меры, а не уповать на майнтейнера и ждать пока соизволят сделать, я могу на декстопе не особенно спешить с обновлениями, хотя Дебиан Ленни вчера уже bind обновлял кажется

Sylvia ★★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от Sylvia

Re: Критическая уязвимость в BIND

да и мне не сложно скачать несколько метров, сделать ./configure && make и скинуть 1 файлик в /usr/sbin ) остальное не так важно

Sylvia ★★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от Sylvia

Re: Критическая уязвимость в BIND

Прочитал. Так толком и не понял как можно испортить кэш у сервера, угадав transaction ID. Найдётся добрая душа, которая объяснит?

teferiincub ()
Ответ на: Re: Критическая уязвимость в BIND от Sylvia

Re: Критическая уязвимость в BIND

ошиблась насчет "вчера"

The following packages have been kept back: libgnomevfs2-bin The following NEW packages will be installed: libdns35{a} The following packages will be upgraded: bind9 bind9-host dnsutils libbind9-30 libisc32 libisccc30 libisccfg30 liblwres30 libvlc0 vlc vlc-nox vlc-plugin-alsa vlc-plugin-esd vlc-plugin-sdl

ну вообщем сегодня уже обновили )

Sylvia ★★★★★ ()
Ответ на: Re: Критическая уязвимость в BIND от Macil

Re: Критическая уязвимость в BIND

> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

они его не тырят, они берут по BSD лиценции)))

anonymous ()
Ответ на: Re: Критическая уязвимость в BIND от black7

Re: Критическая уязвимость в BIND

>а кавычки то зачем? из любви к шаманству?

Из любви к Pascal и Java. Я C/C++ ненавижу. А вы о чём подумали?

iZEN ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.