Дырки в BIND4 и BIND8

А что, еще ими кто-нибудь пользуется?

я не понял:

Vendors should speak to ISC about patches. New BIND 4 & 8 releases are coming soon

?????????????

> Возможна компрометация сервера

Сервер себя скомпрометировал связью с хакером :>?

Сюда и лезть http://www.isc.org/products/BIND/

А в виндах какая версия баинда? Винды подвержены?

ISC выпустили новую версию BIND. Вот их письмо:
---------------------
ISC is aware of several bugs which can result in serious vulnerabilities in
BIND as distributed by ISC. More information about these vulnerabilities
can be found here:

http://www.isc.org/products/BIND/bind-security.html

Upgrading to BIND version 9.2.1 is strongly recommended. However, patches
are available from ISC and new BIND 4 & 8 releases will be forthcoming.

Questions on obtaining the patches should be directed to the Executive
Director of ISC <Lynda_McGinley@isc.org>.
--------------------------------

Рекомендациям перейти на 9.Х уже сто лет.

> А что, еще ими кто-нибудь пользуется?

А какой смысл переходить на 9.Х, если функциональности 8.Х достаточно?

Агностик, хммм... Дык о том и разговор, что для ТОГО, чтобы потом не лить кроваыве слёзы над невинно убиенным ДНС-сервером. По описанию ISS дыра очень серьёзная. Почитай внимательно их описание. Да и ISC кроме версии 9.X выпустила патчи и рекомендуют не обязательно переходить на 9.x, а, как вариант - на BIND v.4.9.11, 8.2.7, 8.3.4, которые пропатчены.

>Дык о том и разговор, что для ТОГО, чтобы потом не лить кроваыве слёзы над невинно убиенным ДНС-сервером.

Гм. Я помню утверждения при появлении BIND9 о кардинальной переработке в нем кода с точки зрения безопасности, но ... Наблюдая за тем, как с завидной регулярностью к девятке выходят новые релизы, содержащие лишь багфиксы ... А так ли это?

> По описанию ISS дыра очень серьёзная.

серьезная. но и на BIND9 появиться чему либо подобному ничто вроде бы не мешает. Так есть ли смысл делать телодвижения в сторону 9, если все работает и на8?

В общем-то ты прав. Я прсто опять же процитирую письмо одного недовольного пользователя BIND от ISC. Помимо приведённого текста он утверждает, что обновлённых версий до сих пор на сервере нет (я не проверял, потому как неактуально).
-----------------------
I had held off upgrading to bind 9 because of its newness. Observing
its release history, in my assessment it has not been any better
than bind 8. There have been too many beta, release candidate and
security fixes to be considered stable. Meanwhile, ISC's policies
left me with no real choice. I've dropped everything else this
evening and have upgraded to bind 9.
-----------------------------
Так что вот так вот.

BIND 9 сыроват - поэтому и багфиксы сыпяться быстро другая альтернатива BIND 8? кроме djbdns?

BIND 8 не так уж и плох... главно в chroot его, не от суперпользователя, и рекурсивные запросы для всех запретить (описанная бага становится не так опасна).

ага запрети рекурсии, он тогда вообще работать перестанет... и шде эти обещаные 8.2.7 и 8.3.4 ISC гнилая контора

BTW, а ISS за опубликование уязвимости-то чмырить начали! В частности Расс Купер написал в Бахтрахе, что ISS поступил некорректно, опубликовав уязвимость до выпуска официальных патчей. В том же письме пишется, что на сайте ISC До сих пор нет новых обещанных версий. И говорится, что дыра присутствует в реализациях BIND в продуктах Nortel, Lucent, Checkpoint. И на страничке ISS говорится, что после уязвимости были обновлены ИХ продукты, которые сами по себе являются сканерами уязвимости и IDS. В общем, довольно интересная драка затевается. Кстати, тот же Расс Купер сказал, что экплоит написать достаточно просто. Ждём очередной крупномасштабной атаки? ;)

Ага, на сайте нет версий, а в официальном заявлении горячо благодарят ISS. Не думаю, что ISS поступил некорректно. Компания слишком известная. Репутация, понимаешь. Скорее всего в ISC тормозят.

По заявлениям ISC девятку полностью переписали с нуля. А 9.2 очень даже стабильна.

мля на 9 надо просто по тому переходить что ... старые версии скоро поддерживаться ... не будут (c) m$ ... а если серьезно то кто блин багами не страдает .... djbdns ? мля у нее пока не тот уровень ....

> djbdns ? мля у нее пока не тот уровень ....

А ну-ка, развей тему про уровень. Интересно послушать.
Чего там нет такого, без чего работа твоего сервера абсолютно немыслима.
Для справки: ставлю исключительно djbdns на серверах с 1999-года. Ни разу никогда не обновлял...

ftp://ftp.isc.org/isc/bind/contrib/ntbind-9.2.1rc1/BIND9.2.2rc1.zip

Собственно - 3 месяца как вышел 9.2.2 rc1.

В котором пофиксены те самые вунтераблес.

И какого ещё народу надо ?

Попу лениво поднять, чтобы 4.xx переставить ?

на 9-й BIND надо ядро 2.4 а тем у кого 2.2 лучше 8 юзать

MaraDNS, господа. MaraDNS.

ISC наконец-то сподобились выпустить патчи прошлой ночью для версий 4 & 8:
http://www.isc.org/products/BIND/patches/
А в Багтрахах все по-прежнему поливают ISC за задержку. SuSe пишут, что написали письмо бабе из ISC, которая отвественая, но в течении 36 часов ответа не получили.

2anonymous (*) (2002-11-15 07:24:09.362)
Блин. ну еще один умник со сказкой про белого бычка.
Есть в djbdns полноценная поддержка IPv6? нет. Для нас это критично - нам за это деньги платят.
Как ведет себя он под нагрузкой? Бинд легко на стареньком спарке отрабатывает 3-4млн.запросов в сутки! (правда на нем зон расположено не очень много - меньше 200.)

> запрети рекурсии, он тогда вообще работать перестанет
вообще это BCP - рекурсию для сторонних клиентов запрещать

> Есть в djbdns полноценная поддержка IPv6?

http://www.fefe.de/dns/

> Как ведет себя он под нагрузкой?

Нагрузка - это сколько? Вот, человек из ISP пишет, что имеет на пике 1000 запросов в секунду к dns-кэшу. Я видел цифры порядка 5000 запросов/секунду для контент dns-сервера на P3-1000.
http://marc.theaimsgroup.com/?l=djbdns&m=102858299618682

> на стареньком спарке отрабатывает 3-4млн.запросов в сутки!

Не стоит восклицаний. Контент-сервер. 5000 множим на 60 и на 60 и на 24.
Получаем 432 миллиона в сутки. Хватит? Скорее твой канал загнется, чем djbdns.

>> Есть в djbdns полноценная поддержка IPv6?
>http://www.fefe.de/dns/ ]
но ведь сказали же. Полноценная. А это как минимум A6. AAAA уже obsoleted.

>> на стареньком спарке отрабатывает 3-4млн.запросов в сутки!
>Не стоит восклицаний. Контент-сервер. 5000 множим на 60 и на 60 и на >24.
>Получаем 432 миллиона в сутки. Хватит? Скорее твой канал загнется, >чем djbdns.
я нифига не понял что такое "Контент-сервер" применительно к dns. так что тут возразить нечего.
а каналы у нас не загнутся. мы их меряем сотнями мегабит. ибо сами провы 8-)

И A6 уже obsoleted вернее мертворожденное. Поэтому его и нет в нете и не будет.

Что тут не понятно? "Получаем 432 миллиона в сутки на П3" Ваши 3-4 мил. отдыхают.

P.S. По опыту скажу, вот уж где безграмотный народ собирается так это на dns у провов.

(Другой анонимоус)

> я нифига не понял что такое "Контент-сервер"

Значит, ты в глаза не видел djbdns... А как же ты можешь спорить о его недостатках? И сразу видно, какой ты специалист. Посмотри на гугл:
http://www.google.com.ru/search?q=content+dns+server