LINUX.ORG.RU

Обнаружены уязвимости в BIND


0

0

Опубликована информация о уязвимостях BIND, это касается версий:

ISC BIND 9.3.0 (возможно и в более ранних версиях)
http://secunia.com/advisories/14008/

Наличие уязвимости в функции authvalidated() позволяет провести удаленный DoS.
Решение проблемы - обновиться до версии 9.3.1.

ISC BIND 8.x.x.
http://secunia.com/advisories/14009/

При определенных dns-запросах, некорректно обрабатывается массив "q_usedns", в результате возможен удаленный отказ в обслуживании.
Решение проблемы - обновиться до версии 8.4.6.


>>> Версии для обновлений

★★★

Проверено: maxcom ()

Ответ на: Re: Обнаружены уязвимости в BIND от yeg

Re: Обнаружены уязвимости в BIND

да нормальная система... Ну бывают конечно у них там косяки... причём регулярно :-). Что самое прикольное, наш узел ломали два раза и каждый раз - через bind. Воще. Я просто хренею. Весь интернет работает на этом bind. Чего - нельзя сделать его стабильным и без дырок? Вот вам и программирование на C.

stasL ()

Re: Обнаружены уязвимости в BIND

И после этого меня еще спрашивают, почему я везде использую djbdns и qmail. ;)

baka-kun ★★★★★ ()
Ответ на: Re: Обнаружены уязвимости в BIND от anonymous

Re: Обнаружены уязвимости в BIND

> baka-kun, а веб-сервер какой

Представляешь, разные. ;) От boa и thttpd до apache и aolserver. В джейлах.

> в твоей песочнице

Моя "песочница" намного больше садового кольца по площади будет ;)

baka-kun ★★★★★ ()
Ответ на: Re: Обнаружены уязвимости в BIND от stasL

Re: Обнаружены уязвимости в BIND

>Весь интернет работает на этом bind

Ну не весь. Но много.. Потому дырка в бинд более ценна нежели в каком нить раритете. Потому ломали, ломают и будут ломать. мать их.

anonymous ()

Re: Обнаружены уязвимости в BIND

а где написано про версию 9.3.1? На isc.org последняя - 9.3.0

toxa ★★ ()
Ответ на: Re: Обнаружены уязвимости в BIND от yeg

Re: Обнаружены уязвимости в BIND

> блин раскажите мне что нибудь такое что бы я захотел себе поставить bind??

его не нужно ставить - он есть в базовой системе FreeBSD :)
настраивается по хэндбуку за пару минут, причем сразу в chroot'e.

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от x97Rang

Re: Обнаружены уязвимости в BIND

Ну так бета - это ещё не релиз. А вот мне интересно другое, почему FreeBSD не выпустили Security Advisory про BIND 9.3.0 который встроен в FreeBSD 5.3-RELEASE? Кто знает?

anonymous ()

Re: Обнаружены уязвимости в BIND

Бинд - многолетнее ГОВНО ! Никогда не юзайте бинд !

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от anonymous

Re: Обнаружены уязвимости в BIND

Наверно причина в том, что при настройках по умолчанию BIND 9.3.0 не подвержен этой уязвимости:

Workarounds

ISC recommends that users that are unable to apply the patch turn off dnssec validation (which is off by default) at the options/view level. The relevant BIND configuration directive is:

dnssec-enable no;

Интересно, кто из тут кричащих использует эту самую dnssec validation?

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от anonymous

Re: Обнаружены уязвимости в BIND

да кто вообще использует этот bind... ;)
ладно там sendmail, что бы не орали, все-таки промышленный стандарт, фичи, все дела... но уж зону-то публиковать - много ли надо? Так что IMHO перейти на что-нибудь типа djndns - нет проблем.

toxa ★★ ()

Пустышка

Проблема в BIND 9.3.0 пустышка, покажите мне хоть одного администратора собирающего BIND с DNSSEC, а по умолчанию он выключен.

anonymous ()
Ответ на: Пустышка от anonymous

Re: Пустышка

я включил и используйю dnssec для удаленного динамического днс.

victorb ★★ ()
Ответ на: Re: Обнаружены уязвимости в BIND от baka-kun

Re: Обнаружены уязвимости в BIND

отвечу еще раз, так как предыдущее мой ответ убрали

> И после этого меня еще спрашивают, почему я везде использую djbdns и qmail.

И все бл? потому, что тебе не хватило терпения разрюхать рулсеты sendmail и нормально настроить bind. И хватит тыкать djbdns и qmail!

ps. модеры, ну как так поприличней? :-p

orb ()
Ответ на: Re: Обнаружены уязвимости в BIND от Zulu

Re: Обнаружены уязвимости в BIND

Ну да...а ты у нас работаешь в большой конторе и только успеваешь фиксить bind-овские дыры, показывая в отчётах боссу, как ты загружен...

не надо пиздеть - это раз. и два, если не хватает мозгов использовать нормальный софт, то не надо доказывать состоятельность дырявого поделия aka bind-a...

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от Zulu

Re: Обнаружены уязвимости в BIND

Вероятно ты в одном сегменте с корневыми серверами и спонсорами авторы бинда.

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от orb

Re: Обнаружены уязвимости в BIND

можно подумать что пальцевание тем что не пожалел и зазря угробил столько времени ковыряя конфиги сендмыла намного лучше смотрятся. мегалол

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от anonymous

Re: Обнаружены уязвимости в BIND

>И после этого меня еще спрашивают, почему я везде использую djbdns и >qmail. ;)

по поводу djb... легко писать не взламываемые проги, которые ничего не делают :( и грантию давать на исходник без патчей.

сейчас тот же qmail без заплатки не скомпилится. а раз с заплаткой, то берштейн ничего не гарантирует.

подержи хотя бы 20-30 зон с поддоменами, вторичными, со всеми делами на djbdns. и прикинь что скажет новый админ, когда ты из этой конторы уволишься?


anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от anonymous

Re: Обнаружены уязвимости в BIND

> по поводу djb... легко писать не взламываемые проги, которые ничего не делают :(

Если бы _все_ программы "ничего не делали" на уровне написанных Деном, наступил бы рай на земле. ;)

> сейчас тот же qmail без заплатки не скомпилится. а раз с заплаткой, то берштейн ничего не гарантирует.

Это ты про errno? Ну так напиши ему и спроси, отменяет ли добавление одного .h гарантию ;). Да и вообще, кто просил libc (точнее glibc в линуксе) ломать? ;) А то, что после патча снимается гарантия, это правильно. Как и то, что некоторые авторы патчей и расширения на qmail сами дают денежные гарантии, например, автор qscanq.

Так же верно, что используемый мной qmail очень сильно расширен и адаптирован под текущие задачи, но все патчи оригинального кода ограничились big-todo, QMAILQUEUE и собственным maildir-quota.

> подержи хотя бы 20-30 зон с поддоменами, вторичными, со всеми делами на djbdns.

В соседней новости про dnsmasq ( http://www.linux.org.ru/jump-message.jsp?msgid=779579 ) я уже привел top одного из серверов с tinydns. ;) Он поддерживает 64 реверсных зоны и несколько сотен прямых. И отдает больше гигабайта ответов в день.

> и прикинь что скажет новый админ, когда ты из этой конторы уволишься?

Если я уволюсь, простые админы-то останутся. ;) С djbdns наоборот работать намного проще, его формат data отлично приспособлен как для человеческих глаз, так и для автоматической обработки.

baka-kun ★★★★★ ()
Ответ на: Re: Обнаружены уязвимости в BIND от baka-kun

Re: Обнаружены уязвимости в BIND

> И после этого меня еще спрашивают, почему я везде использую djbdns и qmail. ;)

не спрашивают. ибо понятно, что если у человека есть выбор -- это гут.

если человеку не нужен dnssec validation, использует он bind или djbdns -- это все детали. а если использует -- у него просто нет этого выбора. =((

vk ()
Ответ на: Re: Обнаружены уязвимости в BIND от vk

Re: Обнаружены уязвимости в BIND

> если человеку не нужен dnssec validation

Как любят говорить на LOR -- dnssec не нужен. Или как говорит Ден:

"DNSSEC currently doesn't accomplish anything, even though it is falsely advertised as preventing forgeries. I'm not strongly opposed to it; there simply isn't any benefit for the users."

"In fact, installing DNSSEC does nothing to protect you, and it will continue to do nothing for the foreseeable future. I'm not going to bother implementing DNSSEC until I see (1) a stable, sensible DNSSEC protocol and (2) a detailed, concrete, credible plan for central DNSSEC deployment.".

http://cr.yp.to/djbdns/forgery.html

http://cr.yp.to/talks/2004dns.pdf

baka-kun ★★★★★ ()
Ответ на: Re: Обнаружены уязвимости в BIND от baka-kun

Re: Обнаружены уязвимости в BIND

baka-kun, да чё ты им объясняешь... это бесполезно. всегда найдётся кучка дебилов ратующих за bind и не способных разобраться в простой настройке djb-шного софта.

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от baka-kun

Re: Обнаружены уязвимости в BIND

> Как любят говорить на LOR -- dnssec не нужен. Или как говорит Ден:

вот пока он не нужен все и в порядке. =))

другое дело, что djb вообще очень критичен в отношении того, что нужно, а что нет, считая что его глюки должны заставлять мир вертеться так, как он хочет. это-то и отталкивает от использования его софта. =((

vk ()
Ответ на: Re: Обнаружены уязвимости в BIND от Deleted

Re: Обнаружены уязвимости в BIND

Да - последняя инстанция, ибо выбирать больше неизчего, да и не нужно. djbdns удовлетворяет всем критериям.

А красноглазый фанатизм - это тупое поклонение bind-у и бесконечный гимор с его дырами.

anonymous ()
Ответ на: Re: Обнаружены уязвимости в BIND от vk

Re: Обнаружены уязвимости в BIND

> вот пока он не нужен все и в порядке.

Так он пока и не работает. Даже стандарта нет. Был rfc, да умер, даже bind ему уже не соответствует. Вот когда все утрясется, когда будет централизованная поддержка, тогда и поговорим. А пока можешь посмотреть на предложение от Дена с ключами в имени.

Если ты внимательно следишь за развитием интернета, и состоишь в списке рассылки IETF, то должен помнить всю историю.

В _1995_ году Пол Викси заявлял: "Мы тут разработали супер крутой dnssec, через год он будет использоваться повсеместно".

В _1999_ появилась минимальная поддержка dnssec в bind 8.

В _2002_ Пол Викси сказал: "мы все еще исследуем, как лучше сделать, rfc-2535 -- труп! Начинаем писать dnssec с нуля".

В _2004_ году: "Мы работаем над dnssec, по дефолту он отключен... А еще мы начали брать деньги за поддержку bind".

Классная фича? Почти _десять_ лет прошло, а они уже второй раз все переписывают. Вот когда будет стандарт, будет поддержка, будет централизованной распределение ключей, тогда и появится фича в прочих серверах. А пока dnssec НЕ РАБОТАЕТ как предполагалось. И он НИЧЕГО не дает.

> другое дело, что djb вообще очень критичен в отношении того, что нужно, а что нет

Естественно. Он целиком и полностью поддерживает букву и дух устоявшейся практики и rfc. "Критичен" -- это очень правильно. Нахрена заморачиваться фичей, которая не работает?

> считая что его глюки должны заставлять мир вертеться так, как он хочет

О каких глюках речь? Если ты про поведение qmail в случае, когда mx отвечает ошибкой, то я это глюком не считаю. Кто не в курсе: если у домена есть несколько mx записей, и один из серверов ответил на rcpt to: ошибкой 5xx, то qmail-remote не будет даже пытаться связаться с другими. Это вполне логично, если подумать. Хотя можешь и пропатчить, чтобы всегда пробовал все mx, это не проблема.

> это-то и отталкивает от использования его софта

Отталкивает консерватизм, привычка и ксенофобия. Хотя djb-софт более UNIX-like, чем bind и sendmail. И но проще, эффективней и безопасней.

baka-kun ★★★★★ ()
Ответ на: Re: Обнаружены уязвимости в BIND от Deleted

Re: Обнаружены уязвимости в BIND

> А что, диджей - это последняя инстанция чтоли?

Нет. Просто его прагматизм как никогда хорошо совпадает с моим. А здесь я просто ответил на вопрос, почему в djbdns нет свистелок и перделок. Это просто надежный продукт для реальной жизни, а не площадка для проталкивания ненужных фич.

> Фанатизмом попахивает, причём красноглазым фанатизмом

Прагматизмом, уважаемый, матерым таким нежеланием быть подопытной свинкой. Мне надо, чтобы работало. И чтобы не бегать с бубном, выясняя, в какой момент у кеширующего named съезжает крыша от недостатка оперативки. И почему эта сволочь от этого иногда просто помирает, а иногда начинает дико тормозить или просто переставать отвечать.

Я ведь тоже использовал bind и sendmail. До тех пор, пока первый на стал вешаться от запросов клиентов, и на него не появилось три эксплоита подряд. А второй просто не стал справляться с нагрузкой, не говоря о жутком неудобстве заводить по 100-200 пользователей в день (в момент нашего роста) и поддержке 10000 пользователей (на тот момент). При этом реальная альтернатива bind только одна, и превосходит его в моем случае по всем статьям. Вот с почтарем я поиграл: postfix, exim, zmailer... Но остановился именно на qmail, как на самом модульном, расширяемом и безопасном. И не проиграл -- сотни тысяч виртуальных ящиков во многих доменах; черные, белые, серые списки; антивирус и антиспам, etc...

Прагматизм, ничего больше.

baka-kun ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.