ISC выпустили новую версию BIND. Вот их письмо:
---------------------
ISC is aware of several bugs which can result in serious vulnerabilities in
BIND as distributed by ISC. More information about these vulnerabilities
can be found here:
Агностик, хммм... Дык о том и разговор, что для ТОГО, чтобы потом не лить кроваыве слёзы над невинно убиенным ДНС-сервером. По описанию ISS дыра очень серьёзная. Почитай внимательно их описание. Да и ISC кроме версии 9.X выпустила патчи и рекомендуют не обязательно переходить на 9.x, а, как вариант - на BIND v.4.9.11, 8.2.7, 8.3.4, которые пропатчены.
>Дык о том и разговор, что для ТОГО, чтобы потом не лить кроваыве слёзы над невинно убиенным ДНС-сервером.
Гм. Я помню утверждения при появлении BIND9 о кардинальной переработке в нем кода с точки зрения безопасности, но ... Наблюдая за тем, как с завидной регулярностью к девятке выходят новые релизы, содержащие лишь багфиксы ... А так ли это?
> По описанию ISS дыра очень серьёзная.
серьезная. но и на BIND9 появиться чему либо подобному ничто вроде бы не мешает. Так есть ли смысл делать телодвижения в сторону 9, если все работает и на8?
В общем-то ты прав. Я прсто опять же процитирую письмо одного недовольного пользователя BIND от ISC. Помимо приведённого текста он утверждает, что обновлённых версий до сих пор на сервере нет (я не проверял, потому как неактуально).
-----------------------
I had held off upgrading to bind 9 because of its newness. Observing
its release history, in my assessment it has not been any better
than bind 8. There have been too many beta, release candidate and
security fixes to be considered stable. Meanwhile, ISC's policies
left me with no real choice. I've dropped everything else this
evening and have upgraded to bind 9.
-----------------------------
Так что вот так вот.
BIND 9 сыроват - поэтому и багфиксы сыпяться быстро другая альтернатива BIND 8? кроме djbdns?
BIND 8 не так уж и плох... главно в chroot его, не от суперпользователя, и рекурсивные запросы для всех запретить (описанная бага становится не так опасна).
BTW, а ISS за опубликование уязвимости-то чмырить начали! В частности Расс Купер написал в Бахтрахе, что ISS поступил некорректно, опубликовав уязвимость до выпуска официальных патчей. В том же письме пишется, что на сайте ISC До сих пор нет новых обещанных версий. И говорится, что дыра присутствует в реализациях BIND в продуктах Nortel, Lucent, Checkpoint. И на страничке ISS говорится, что после уязвимости были обновлены ИХ продукты, которые сами по себе являются сканерами уязвимости и IDS. В общем, довольно интересная драка затевается. Кстати, тот же Расс Купер сказал, что экплоит написать достаточно просто. Ждём очередной крупномасштабной атаки? ;)
Ага, на сайте нет версий, а в официальном заявлении горячо благодарят ISS. Не думаю, что ISS поступил некорректно. Компания слишком известная. Репутация, понимаешь. Скорее всего в ISC тормозят.
мля на 9 надо просто по тому переходить что ... старые версии скоро поддерживаться ... не будут (c) m$ ... а если серьезно то кто блин багами не страдает .... djbdns ? мля у нее пока не тот уровень ....
А ну-ка, развей тему про уровень. Интересно послушать.
Чего там нет такого, без чего работа твоего сервера абсолютно немыслима.
Для справки: ставлю исключительно djbdns на серверах с 1999-года. Ни разу никогда не обновлял...
ISC наконец-то сподобились выпустить патчи прошлой ночью для версий 4 & 8:
http://www.isc.org/products/BIND/patches/
А в Багтрахах все по-прежнему поливают ISC за задержку. SuSe пишут, что написали письмо бабе из ISC, которая отвественая, но в течении 36 часов ответа не получили.
2anonymous (*) (2002-11-15 07:24:09.362)
Блин. ну еще один умник со сказкой про белого бычка.
Есть в djbdns полноценная поддержка IPv6? нет. Для нас это критично - нам за это деньги платят.
Как ведет себя он под нагрузкой? Бинд легко на стареньком спарке отрабатывает 3-4млн.запросов в сутки! (правда на нем зон расположено не очень много - меньше 200.)
Нагрузка - это сколько? Вот, человек из ISP пишет, что имеет на пике 1000 запросов в секунду к dns-кэшу. Я видел цифры порядка 5000 запросов/секунду для контент dns-сервера на P3-1000.
http://marc.theaimsgroup.com/?l=djbdns&m=102858299618682
> на стареньком спарке отрабатывает 3-4млн.запросов в сутки!
Не стоит восклицаний. Контент-сервер. 5000 множим на 60 и на 60 и на 24.
Получаем 432 миллиона в сутки. Хватит? Скорее твой канал загнется, чем djbdns.
>> Есть в djbdns полноценная поддержка IPv6?
>http://www.fefe.de/dns/ ]
но ведь сказали же. Полноценная. А это как минимум A6. AAAA уже obsoleted.
>> на стареньком спарке отрабатывает 3-4млн.запросов в сутки!
>Не стоит восклицаний. Контент-сервер. 5000 множим на 60 и на 60 и на >24.
>Получаем 432 миллиона в сутки. Хватит? Скорее твой канал загнется, >чем djbdns.
я нифига не понял что такое "Контент-сервер" применительно к dns. так что тут возразить нечего.
а каналы у нас не загнутся. мы их меряем сотнями мегабит. ибо сами провы 8-)