LINUX.ORG.RU

Уязвимость DNSSEC в BIND9

 , , , ,


0

0

В популярном DNS-сервере ISC BIND версии 9 обнаружена уязвимость, позволяющая поместить в кэш сервера некорректные данные.

Уязвимость проявляется при работе сервера в режиме рекуррентного резольвера с поддержкой DNSSEC, во время обработки клиентского запроса с установленными флагами CD (отключить проверку) и DO (получить записи DNSSEC). Нормальные клиенты, как правило, не отправляют подобные запросы, поэтому риск можно свести к минимуму всего лишь правильной настройкой allow-recursion. Также проблему решает полное отключение DNSSEC-проверок на сервере.

Тем не менее, ISC уже выпустила обновления безопасности для веток 9.6, 9.5 и 9.4. Всем администраторам, использующим уязвимые версии BIND (9 и выше), рекомендуется произвести обновление.

>>> Подробности

★★★★

Проверено: maxcom ()

> обнаружена уязвимость, позволяющая поместить в кэш сервера некорректные данные

как, опять?? решето!

isden ★★★★★
()

Кто там за плохой код индульгенции продает? :-)

Manhattan
()

Решето такое решето. Закапывайте.

zenden
()

evy ^_^ sylvia ~ >ps aux |grep named;named -v
dnsserv 15046 0.0 0.9 58900 19964 ? Ssl 06:37 0:05 /usr/sbin/named -u dnsserv
sylvia 22250 0.0 0.0 3368 772 pts/2 S+ 21:47 0:00 grep named
BIND 9.6.1-P2

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

переводя на обычный язык - у всех кто претендует на такое качество как аккуратность уже с утра bind обновлен и без новостей на ЛОР )

Sylvia ★★★★★
()

Некорректные данные в кэше моего сервера?
no way!

Neko
()

А вот

named -v

BIND 9.3.6-P1-RedHat-9.3.6-4.P1.el5

TALKER
()

> риск можно свести к минимуму всего лишь правильной настройкой allow-recursion.

Нет, риск можно свести к минимуму лишь введя поощрительные меры в виде отрубания рук программистам, допускающим дыры в продуктах такой важности.

anonymous
()

> Всем администраторам, использующим BIND, рекомендуется произвести эвтаназию.

Fixed.

anonymous
()

а говорили dnssec безопасный DNS :)

wp2
()
Ответ на: комментарий от dzeban

>где больше багов, в bind или в sendmail? лолшто?

Вали-ка обратно на луркморе.

sv75 ★★★★★
()

> в режиме рекуррентного резольвера

блджад, РЕКУРСИВНОГО

gns-respawned
()
Ответ на: комментарий от Sylvia

> у всех кто претендует на такое качество как аккуратность уже с утра bind обновлен

Те, кто претендует на аккуратность, компетентность и ответственность, не используют ПО с богатейшим списком дыр за всю почти тридцатилетнюю историю. Использование BIND при имеющемся гораздо более качественном софте (с поддержкой форматов зон BIND, между прочим) выглядит ничем не обоснованной некрофилией. Так что пользователи гарантированно дырявого BIND - не более чем ССЗБ.

А те, кто допускает баб до админства - ССЗБ вдвойне.

anonymous
()
Ответ на: комментарий от anonymous

сколько комплексов, неудивительно что анонимус)

с последним - к Фрейду )

с альтернативами bind, назовите достойную замену, у powerdns и djbdns хоть и получше дела с безопасностью, но они тоже неидеальны, а в целом наверное более неудобны чем bind

и перед тем как блистать тут своей компетенцией посмотрели бы для начала что используется в root dns зоне

http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D1%80%D0%BD%D0%B5%D0%B2%D1%8B%D0%B5...

10 bind vs 3 nsd

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

evy ^_^ sylvia ~ >ps aux |grep named;named -v

байнд на локалхосте - мило. именно там он должен быть самым новым...

Isus
()
Ответ на: комментарий от Sylvia

на рутах от исходного бинда осталось очень и очень мало.
так что занимайтесь лучше патчинием.

anonymous
()
Ответ на: комментарий от anonymous

>Использование BIND при имеющемся гораздо более качественном софте (с поддержкой форматов зон BIND, между прочим) выглядит ничем не обоснованной некрофилией

А DDNS кто, кроме bind поддерживает?

anonymous
()
Ответ на: комментарий от anonymous

А DDNS кто, кроме bind поддерживает?

M$ DNS :)

dexpl ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.