LINUX.ORG.RU

Уязвимость DNSSEC в BIND9

 , , , , ,


0

0

В популярном DNS-сервере ISC BIND версии 9 обнаружена уязвимость, позволяющая поместить в кэш сервера некорректные данные.

Уязвимость проявляется при работе сервера в режиме рекуррентного резольвера с поддержкой DNSSEC, во время обработки клиентского запроса с установленными флагами CD (отключить проверку) и DO (получить записи DNSSEC). Нормальные клиенты, как правило, не отправляют подобные запросы, поэтому риск можно свести к минимуму всего лишь правильной настройкой allow-recursion. Также проблему решает полное отключение DNSSEC-проверок на сервере.

Тем не менее, ISC уже выпустила обновления безопасности для веток 9.6, 9.5 и 9.4. Всем администраторам, использующим уязвимые версии BIND (9 и выше), рекомендуется произвести обновление.

>>> Подробности

★★★★

Проверено: maxcom ()

Уязвимость DNSSEC в BIND9

> обнаружена уязвимость, позволяющая поместить в кэш сервера некорректные данные

как, опять?? решето!

isden ★★★★★ ()

Уязвимость DNSSEC в BIND9

Кто там за плохой код индульгенции продает? :-)

Manhattan ()

Уязвимость DNSSEC в BIND9

Решето такое решето. Закапывайте.

zenden ()

Уязвимость DNSSEC в BIND9

evy ^_^ sylvia ~ >ps aux |grep named;named -v
dnsserv 15046 0.0 0.9 58900 19964 ? Ssl 06:37 0:05 /usr/sbin/named -u dnsserv
sylvia 22250 0.0 0.0 3368 772 pts/2 S+ 21:47 0:00 grep named
BIND 9.6.1-P2

Sylvia ★★★★★ ()

Уязвимость DNSSEC в BIND9

Камински?

dzeban ()
Ответ на: Уязвимость DNSSEC в BIND9 от Sylvia

Уязвимость DNSSEC в BIND9

переводя на обычный язык - у всех кто претендует на такое качество как аккуратность уже с утра bind обновлен и без новостей на ЛОР )

Sylvia ★★★★★ ()

Уязвимость DNSSEC в BIND9

Некорректные данные в кэше моего сервера?
no way!

Neko ()

Уязвимость DNSSEC в BIND9

А вот

named -v

BIND 9.3.6-P1-RedHat-9.3.6-4.P1.el5

TALKER ()

Уязвимость DNSSEC в BIND9

> риск можно свести к минимуму всего лишь правильной настройкой allow-recursion.

Нет, риск можно свести к минимуму лишь введя поощрительные меры в виде отрубания рук программистам, допускающим дыры в продуктах такой важности.

anonymous ()

Уязвимость DNSSEC в BIND9

bind8 как бы намекал ;)

real_maverick ★★★ ()

Уязвимость DNSSEC в BIND9

> Всем администраторам, использующим BIND, рекомендуется произвести эвтаназию.

Fixed.

anonymous ()

Уязвимость DNSSEC в BIND9

а говорили dnssec безопасный DNS :)

wp2 ()
Ответ на: Уязвимость DNSSEC в BIND9 от dzeban

Уязвимость DNSSEC в BIND9

>где больше багов, в bind или в sendmail? лолшто?

Вали-ка обратно на луркморе.

sv75 ★★★★★ ()

Уязвимость DNSSEC в BIND9

> в режиме рекуррентного резольвера

блджад, РЕКУРСИВНОГО

gns-respawned ()
Ответ на: Уязвимость DNSSEC в BIND9 от Sylvia

Re: Уязвимость DNSSEC в BIND9

> у всех кто претендует на такое качество как аккуратность уже с утра bind обновлен

Те, кто претендует на аккуратность, компетентность и ответственность, не используют ПО с богатейшим списком дыр за всю почти тридцатилетнюю историю. Использование BIND при имеющемся гораздо более качественном софте (с поддержкой форматов зон BIND, между прочим) выглядит ничем не обоснованной некрофилией. Так что пользователи гарантированно дырявого BIND - не более чем ССЗБ.

А те, кто допускает баб до админства - ССЗБ вдвойне.

anonymous ()
Ответ на: Re: Уязвимость DNSSEC в BIND9 от anonymous

Уязвимость DNSSEC в BIND9

сколько комплексов, неудивительно что анонимус)

с последним - к Фрейду )

с альтернативами bind, назовите достойную замену, у powerdns и djbdns хоть и получше дела с безопасностью, но они тоже неидеальны, а в целом наверное более неудобны чем bind

и перед тем как блистать тут своей компетенцией посмотрели бы для начала что используется в root dns зоне

http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D1%80%D0%BD%D0%B5%D0%B2%D1%8B%D0%B5...

10 bind vs 3 nsd

Sylvia ★★★★★ ()
Ответ на: Уязвимость DNSSEC в BIND9 от Sylvia

Re: Уязвимость DNSSEC в BIND9

evy ^_^ sylvia ~ >ps aux |grep named;named -v

байнд на локалхосте - мило. именно там он должен быть самым новым...

Isus ()
Ответ на: Уязвимость DNSSEC в BIND9 от Sylvia

Re: Уязвимость DNSSEC в BIND9

на рутах от исходного бинда осталось очень и очень мало.
так что занимайтесь лучше патчинием.

anonymous ()
Ответ на: Re: Уязвимость DNSSEC в BIND9 от anonymous

Re: Уязвимость DNSSEC в BIND9

>Использование BIND при имеющемся гораздо более качественном софте (с поддержкой форматов зон BIND, между прочим) выглядит ничем не обоснованной некрофилией

А DDNS кто, кроме bind поддерживает?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.