LINUX.ORG.RU

Dan Bernstein платит деньги

 ,


0

0

Djbdns сломан! Его автор, доктор Dan Bernstein обещал выплату гонорара в 1000 долларов тому, кто найдет уязвимость в его программе. Её таки нашли. DNS-сервер Djbdns имеет уязвимость в кеше, которую можно использовать, послав один специально сформированный пакет.

>>> Подробности



Проверено: JB ()

Re: Dan Bernstein платит деньги

Таки решето? =)

Интересно, насколько специально искалась уязвимость?

GAMer ★★★★★ ()
Ответ на: Re: Dan Bernstein платит деньги от f00fc7c8

Re: Dan Bernstein платит деньги

Да, первонахом не успел ;) а по теме - какой-то провокационный заголовок... А для Ъ - чем этот серв так примечателен? Своей стабильностью или "невзламываемностью"?

vspider ★★ ()
Ответ на: Re: Dan Bernstein платит деньги от vspider

Re: Dan Bernstein платит деньги

http://ru.wikipedia.org/wiki/Djbdns

djbdns представляет собой простой и безопасный набор программ для обслуживания и разрешения (resolving) DNS зон. D. J. Bernstein создал его после обнаружения многочисленных ошибок в коде BIND. Он пообещал премию[2] в $1000 тому, кто найдёт ошибку в коде djbdns. Премия до настоящего времени не востребована.

name_no ★★ ()

Re: Dan Bernstein платит деньги

Хе. На сей раз диджею не удалось отмазаться по своей классической схеме "это не бага, это фича"? 8))

kemm ()

Re: Dan Bernstein платит деньги

За понты надо платить..а то ишь! ухмыляется...

farisey ()

Re: Dan Bernstein платит деньги

Долгое время автор второго по популярности (сразу после BIND) DNS-сервера djbnds Дэвид Бернштейн считал его столь надежным что обещал тысячу долларов каждому, нашедшему в нем уязвимость. Похоже, пришла пора исполнить обещание, поскольку на прошлой неделе была обнародована информация о сразу двух уязвимостях.

Первая из них фактически является комбинацией из трех уязвимостей, совместное использование которых дает возможность реализовать атаку класса cache poisoning: неумение блокировать одновременные одинаковые запросы, отсуствие кэширования SOA-запросов, особенности обработки очереди сообщений, в которой по умолчанию хранится до 200 запросов, причем при переполнении очереди старые запросы игнорируются. Все вместе они делают возможным применение модифицированной техники, продемонстрированной Дэном Камински, в сочетании с известной уже семь лет атакой "дней рождения" (основанной на том факте, что в группе из 23 и более человек вероятность совпадения дня рождения хотя бы у двоих из них превышает 50%, а в группе из 57 человек достигает уже 99%).

Вторая атака проявляется в достаточно редких случаях совместного использование с dsbdns вспомогательных пакетов axfrdns и tinydns и связана с так называемым сжатием имен (откидыванием части длинного имени с заменой его ссылкой на другое место пакета, где фигурирует оно же).

взято с багтрака

AliSFeN ()

Re: Dan Bernstein платит деньги

Патч есть и это хорошо. Интересно, во сколько Бернштейн оценит следующую дыру?

Deleted ()
Ответ на: Re: Dan Bernstein платит деньги от Lumi

Re: Dan Bernstein платит деньги

> Сендмэйловцы давно бы стали нищими при таком раскладе.
То есть биндовцы. :)
Что-то кумэйл мысль перебил...

Lumi ★★★★★ ()

Re: Dan Bernstein платит деньги

Бернштейн. Ну-ну...

sabonez ★☆☆☆ ()

Re: Dan Bernstein платит деньги

слава роботам

kto_tama ★★★★★ ()
Ответ на: Re: Dan Bernstein платит деньги от AliSFeN

Re: Dan Bernstein платит деньги

Интересно, почему же он был так уверен в своём коде? Низкая квалификация, самоуверенность или слишком тонкая атака? Не хочу хвалиться, но видя алгоритм, без труда можно найти "тонкие" места или ограничения, способные "уронить" код. Как же он их проглядел?

matumba ★★★★★ ()

Re: Dan Bernstein платит деньги

Франкенштейн таки уязвим )))

mio ★★ ()

Re: Dan Bernstein платит деньги

гони бабло Dan Bernstein!

splinter ★★★★★ ()
Ответ на: Re: Dan Bernstein платит деньги от matumba

Re: Dan Bernstein платит деньги

> Не хочу хвалиться, но видя алгоритм, без труда можно найти "тонкие" места или ограничения, способные "уронить" код.

Последняя официальная версия djbdns 1.05 датирована 12 февраля 2001 года, у вас было 8 лет на то, что бы «видя алгоритм, без труда найти "тонкие" места или ограничения, способные "уронить" код» и заработать небольшую премию.

Deleted ()

Re: Dan Bernstein платит деньги

>Djbdns сломан!
Не смешите.

srgaz ()
Ответ на: Re: Dan Bernstein платит деньги от Deleted

Re: Dan Bernstein платит деньги

>Последняя официальная версия djbdns 1.05 датирована 12 февраля 2001 года

Нечто похожее было и с "Неуловимым Джо" ;-) Была бы премия тысяч 20, давно бы нашли.

sabonez ★☆☆☆ ()
Ответ на: Re: Dan Bernstein платит деньги от matumba

Re: Dan Bernstein платит деньги

> Не хочу хвалиться, но видя алгоритм, без труда можно найти "тонкие" места или ограничения, способные "уронить" код. Как же он их проглядел?

И именно поэтому причине в OpenSource программах нет security-багов!

Korwin ★★★ ()
Ответ на: Re: Dan Bernstein платит деньги от sabonez

Re: Dan Bernstein платит деньги

Деньги, конечно, не большие по нынешним меркам, да и читать код доктора сомнительное удовольствие, однако хотя бы из спортивного интереса пробовали многие.

Deleted ()

Re: Dan Bernstein платит деньги

А еще "ненормальные", раздающие деньги "на халяву", существуют?

kulti ★★ ()
Ответ на: Re: Dan Bernstein платит деньги от matumba

Re: Dan Bernstein платит деньги

> Не хочу хвалиться, но видя алгоритм, без труда можно найти "тонкие" места или ограничения, способные "уронить" код. Как же он их проглядел?

Есть подозрение, что Ваша уверенность основана исключительно на недостатке опыта написания сетевых сервисов. Вы, для начала, попробуйте сами написать нечто аналогичное djbdns. Атака на него значительно более сложная, чем типичное переполнение буфера, и возможна только в специальных условиях.

Casus ★★★★★ ()
Ответ на: Re: Dan Bernstein платит деньги от kulti

Re: Dan Bernstein платит деньги

> А еще "ненормальные", раздающие деньги "на халяву", существуют?

Диджей Би ещё много чего написал, так что дерзай.

Lumi ★★★★★ ()

Re: Dan Bernstein платит деньги

в Qmail ничего не нашли? ツ
а то у меня живет тут один зомби Дэна Бернштейна

Sylvia ★★★★★ ()
Ответ на: Re: Dan Bernstein платит деньги от kulti

Re: Dan Bernstein платит деньги

>>А еще "ненормальные", раздающие деньги "на халяву", существуют?

Кнут платит за опечатки в своих книжках (думаю русский перевод не считается) и кажется за баги в техе тоже что-то причитается.

deadman ★★ ()
Ответ на: Re: Dan Bernstein платит деньги от Sylvia

Re: Dan Bernstein платит деньги

>> так что там с qmail ?

там вроде нашли пару багов, но они специфичны для x64, поэтому не считается =). Qmail сам по себе никому не упёрся, а те, кто его используют накладывают жирную пачку патчей сверху, так что, опять, найденные там уязвимости считаться не будут.

deadman ★★ ()
Ответ на: Re: Dan Bernstein платит деньги от deadman

Re: Dan Bernstein платит деньги

ясно, спасибо
тем более что таких некромантов , кто его использует остается все меньше
хотя spamdyke например развивающийся проект

Sylvia ★★★★★ ()
Ответ на: Re: Dan Bernstein платит деньги от deadman

Re: Dan Bernstein платит деньги

>Кнут платит за опечатки в своих книжках (думаю русский перевод не считается) и кажется за баги в техе тоже что-то причитается.
Еще бы считался =) А то бы уже давно перевод у IBM заказали. А насчет теха это интересно, надо погуглить.

kulti ★★ ()
Ответ на: Re: Dan Bernstein платит деньги от kulti

Re: Dan Bernstein платит деньги

покажите мне хоть одну прогу у которой за 8 лет найдена одна(две три) ремут дыра, обычно больше, в том же ssh было найдено больше

yeg ()

Re: Dan Bernstein платит деньги

> Её таки нашли

Мелочь, а приятно. А Винеме в своё время зажал :)

AlexM ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.