Критическая уязвимость в BIND

http://doxpara.com/ — check your dns, my is vulnerable

> А там рекурсор то есть ? :-)

Естественно. Причем очень неплохой.

А вообще новость по меньшей пере дешевый пеар. Первая часть её — страшный баян: тот же DJB разбирал протокол по полочкам. Даже последний идиот догадается, что для сервера, отправляющего все запросы с одного порта, достаточно угадать шестнадцать бит id.

Вторая часть заключается в том, что в bind /сам алгоритм/ вычисления следующего id криптографически не достаточно стоек, поэтому угадать его можно без перебора всех 64k вариантов. За это ISC уже пинали. Сейчас они вроде говорят о вероятности 1/16.

давно пора закопать этот быдлопротокол DNS по причине его ненужности. все дружно запоминаем IP адреса! символьные адреса - для домохозяек! настоящие Ъ знаю напамять IP адреса всех посещаемых ресурсов, да еще и перед каждым посещением проверяют fingerprint удаленной системы nmap'ом. символьные адреса - для домохозяек!

DNS R.I.P

> знаю напамять IP адреса всех посещаемых ресурсов

Смешно будет посмотреть на твои мучения при запоминании 2001:0DB8:0:D0B4:D0B5:D0B1:D0B8:D0BB.

посмейся лучше над своим куриным моском, быдло. если мне понадобится, я и не такое запомню.

> если мне понадобится, я и не такое запомню.

Так ты из тех полудебилов, которые извлекают в голове кубические корни и запоминают на слух тридцатидвухзначные шестнадцатиричные числа? Таблицы Брадиса уже выучил? Череп не жмет?

Вряд ли ты поймешь, но прогрессом двигает «продуктивная лень». Могу с уверенностью заявлять, что имя debil.ru запомнить тебе будет легче, чем адрес выше. Человек разумный придумывает абстракции и уменьшает энтропию, и только эти самые дебилы (.ru) газифицируют метаном лужи.

Your name server, at 212.48.193.37, appears vulnerable to DNS Cache Poisoning. All requests came from the following source port: 57353

провайдер тоже мне )) хорошо что я их DNS не пользуюсь жаль что другие сервера там не проверить, ну впрочем, я думаю скоро юудут выложены PoC программки для проверки ленивости администраторов

может быть я и полудебил, но ты - полный и окончательный дебил. это я тебе тоже с уверенностью могу заявлять. потому что ты меня даже не знаешь, а заявляешь, что мне будет легче, а что не будет.

мораль - DNSsec - жжот. все переходим на IPv6 и курим маны про "шо такэ TLA&NLA?".

> потому что ты меня даже не знаешь, а заявляешь, что мне будет легче, а что не будет.

Так я ведь не спорю с тем, что встречаются очень нездоровые психически люди, которым проще запомнить произвольный алфавитно-цифровой идентификатор, чем собственное имя.

Просто я достаточно оптимистичен, чтобы не считать оппонента /настолько/ больным человеком.

Что вы разволновались?! secunia.com утверждает про статус "Moderately critical", а вовсе не "Проблеме присвоен максимальный уровень опасности".

http://secunia.com/advisories/30973/

гыгы...я обновил бинд еще до того, как узнал о этой уязвимости..

Wed Jul 9 20:03:57 CDT 2008

ну вот и Патрик почесался =)

патрег не нужен. капча bangged со мной согласна.

оооо ISP посыпались ... то билинг у одного шатает, то "исчезают" бэкапы. походу никто латать и не подумал. или - юзает венду.

нигде не могу найти описания механизма действия уязвимости. ходил по ссылке http://doxpara.com/ . ничего интересного. перепробовал два десятка публичных днс и тоже ноль. всегда сервер не уязвим. А у меня то старенький бинд стоит, который по описанию уязвим по самые помидоры. Есть работающий способ проверить что это за глюк? Нормальное описание? Или всё упирается только в то, что запросы не должны идти с одного порта? Я вообще не понимаю как запросы могут идти с одного порта, ведь каждый раз бинд запрашивает у системы сокет для исходящего соединения. И система каждый раз выдает очередной свободный из пула. Как и для любого другого приложения. Или я что то в этой жизни пропустил. Или весь этот шум большой трындёж ни имеющий под собой ничего.

На мой взгляд беспокоится в основном стоит только тем огранизациям, у которых большое кол-во пользователей, например таким как операторы домашних сетей или ADSL-провайдеры. Верятность, что нехорошие люди будут отравлять кеши их рекурсивных dns-серверов намного выше, чем для других организаций. Для них существуют варианты:
1) Если денег нет - то Unbound (желательно последний код из svn), PowerDNS recursor или на худой конец обновить Bind до версий, где рандомизируются udp-порты для исходящих dns-запросов;
2) Если деньги есть - то купить софт у Nominum: Nominum Foundation Caching Name Server (CNS). К слову эта компания основана человеком, благодоря которому мы имеем DNS и которая писала Bind 9 по контракту с ISC. Их софт не имеет общего кода с Bind и лучше всего подходит для больших операторов связи.
В первом варианте я не упомянул DJB dnscache, т.к. на мой взляд у него нет будущего.
По второму варианту пошли Сomcast, British Telecom и многие другие немаленькие операторы.

Почитал. Женский форум. пора лор перекрасить в розовенький.

> Почитал. Женский форум. пора лор перекрасить в розовенький. Розовенький - это девчачий цвет. Женский - красный.

Если за 20 лет только у одного идиота хватило ума, чтобы собрать все баги в одну кучу, то мир не так уж и плох.