The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В DNS-сервере Bind 9 обнаружена DOS-уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от opennews on 23-Фев-11, 23:09 
В DNS-сервере Bind (http://www.isc.org/software/bind/) обнаружена уязвимость (http://www.isc.org/software/bind/advisories/cve-2011-0414), позволяющая инициировать зависание процесса. Проблема проявляется при интенсивном потоке IXFR-пересылок или DDNS-обновлений - если почти сразу после успешной обработки  IXFR-пересылки или DDNS-обновления сервер получит связанный с ними запрос может возникнуть бесконечное зацикливание, при котором обработка всех запросов блокируется.


Пользователям ветки 9.7.x рекомендуется обновить BIND до версии BIND 9.7.3. Ветки  BIND 9.4, 9.5, 9.6 и 9.8 уязвимости не подвержены. В качестве временной меры защиты bind может быть запущен в однопоточном режиме (опция "-n1");

URL: http://www.isc.org/software/bind/advisories/cve-2011-0414
Новость: http://www.opennet.ru/opennews/art.shtml?num=29692

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +2 +/
Сообщение от A1ek on 23-Фев-11, 23:09 
стопицотое подтверждение того, что актуальная версия ПО - лучшая защита.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  –6 +/
Сообщение от bircoph (ok) on 23-Фев-11, 23:32 
Скорее, подтверждение того, что следует использовать адекватную замену bind.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  –7 +/
Сообщение от Hety (??) on 23-Фев-11, 23:34 
+1. Уж мыши кололись-кололись, кололись-кололись. У бинда, вероятно, есть своя ниша, но использовать его в ситуациях, когда нет отряда обслуживающих его товаришей, я бы не стал.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +3 +/
Сообщение от pavlinux (ok) on 24-Фев-11, 01:06 
Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +1 +/
Сообщение от pavlinux (ok) on 24-Фев-11, 01:07 
> Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :)

# echo -ne "nameserver 8.8.4.4\nnameserver 8.8.8.8\n" > /etc/resolv.conf

в /etc/dhcpd.conf

  option domain-name-servers 8.8.4.4, 8.8.8.8;

И весь офис щастлив!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от Hety (??) on 24-Фев-11, 08:31 
Как раз совершенно не провайдеры. Именно поэтому трахаться с биндом смысла нет никакого.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +1 +/
Сообщение от СуперАноним on 24-Фев-11, 10:10 
О, как щасслив Гуголь! ;)
и Big Brother тоже ;)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +2 +/
Сообщение от sHaggY_caT (ok) on 24-Фев-11, 10:22 
>И весь офис щастлив!

Не подойдет, если часть сервисов находится в офисной локале, под DNAT на локальный IP, и нужен локальный DNS, который резолвит DNS по корпоративным доменам по-другому, в отличие от внешних, которые резолвят на один из публичных IP офиса.

Кроме того, частенько бывают сервисы, которые вообще извне недоступны, а находятся только внутри офисной локалки, и извне, или другого офиса конторы к ним доступ через VPN (или на сервере в датацентре, но все равно всем подряд не видны)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от Bx (ok) on 24-Фев-11, 12:02 
>>И весь офис щастлив!
> Не подойдет, если часть сервисов находится в офисной локале, под DNAT на
> локальный IP, и нужен локальный DNS, который резолвит DNS по корпоративным
> доменам по-другому, в отличие от внешних, которые резолвят на один из
> публичных IP офиса.
> Кроме того, частенько бывают сервисы, которые вообще извне недоступны, а находятся только
> внутри офисной локалки, и извне, или другого офиса конторы к ним
> доступ через VPN (или на сервере в датацентре, но все равно
> всем подряд не видны)

etc/hosts вроде вроде как даже и в seven есть :)
но осчастливливать гуглу внутренними именами я бы тоже не стал. А выпускать резолвинг из внутренней сетки - вообще немного странно на мой взгляд

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +1 +/
Сообщение от sHaggY_caT (ok) on 25-Фев-11, 00:18 

> etc/hosts вроде вроде как даже и в seven есть :)

Уверена, что Вы и сами понимаете, что %system32%\drivers\etc\hosts это для совсем уж SOHO-контор с двумя-тремя виндус-писюками. Не будете же Вы его носить через виндовый puppet, или logon-скрипт в хоть немного большей сети?
а внутренний DNS и есть безвелосипедное решение

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +1 +/
Сообщение от pavlinux (ok) on 24-Фев-11, 13:44 
>>И весь офис щастлив!
> Не подойдет, если часть сервисов находится в офисной локале, под DNAT

Ну тогда им на...рать на "интенсивный поток IXFR-пересылок или DDNS-обновлений..."

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от mr_gfd on 24-Фев-11, 13:36 
>> Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :)
> # echo -ne "nameserver 8.8.4.4\nnameserver 8.8.8.8\n" > /etc/resolv.conf
> в /etc/dhcpd.conf
>   option domain-name-servers 8.8.4.4, 8.8.8.8;
> И весь офис щастлив!

Ой-вей и таки ой! А как же таймауты или длительное ожидание ответа?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от reinhard (ok) on 24-Фев-11, 06:48 
Бернштейна не предлагать!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от Аноним (??) on 24-Фев-11, 10:43 
Ага, видели мы эти замены: MaraDNS, PowerDNS и Dnsmasq.

В открытом DNS-сервере MaraDNS найдена критическая уязвимость, позволяющая выполнить код на сервере через отправку специально сформированного DNS-запроса (резолвинг имени домена длиннее 254 символов). Статус устранения уязвимости пока неизвестен; http://www.opennet.ru/opennews/art.shtml?num=29402

В открытом высокопроизводительном DNS-сервере PowerDNS Recursor найдены две критические уязвимости, позволяющие удаленному злоумышленнику через отправку специально оформленного пакета выполнить свой код на сервере и осуществить подстановку данных злоумышленника в кэш DNS сервера.
http://www.opennet.ru/opennews/art.shtml?num=24921

В пакете Dnsmasq, объединяющем в себе кэширующий DNS прокси и DHCP сервер, обнаружено две уязвимости, позволяющие удаленному злоумышленнику добиться выполнения своего кода.
http://www.opennet.ru/opennews/art.shtml?num=23245

В кеширующем резолвере dnscache из состава пакета djbdns подтверждено наличие проблемы безопасности, связанной с некорректной обработкой SOA (Start of Authority) полей, что может быть использовано для увеличение вероятности успешного совершения атаки, направленной на подстановку данных в DNS кеш.
http://www.opennet.ru/opennews/art.shtml?num=20633

Особенно комично в этом контексте выглядят такие заявления:
"MaraDNS has a strong security history. For example, MaraDNS has always randomized, using a secure random number generator, the Query ID and source port of DNS queries; and was never vulnerable to the "new" cache poisoning attack."

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +1 +/
Сообщение от bircoph (ok) on 24-Фев-11, 11:26 
Посмотри Unbound и NSD, детка. Там и безопасность выше, и скорость. А функциональность та же.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от Аноним (??) on 24-Фев-11, 13:52 
Вы случайно не телеведущий с беларуского телевидения?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от Аноним (??) on 24-Фев-11, 16:54 
> Посмотри Unbound и NSD, детка. Там и безопасность выше, и скорость. А
> функциональность та же.

И чем это у них безопасность лучше ? Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил.

Unbound:
http://secunia.com/advisories/38888/
http://secunia.com/advisories/36996/

NSD:
http://secunia.com/advisories/35165/
http://secunia.com/advisories/31847/
http://secunia.com/advisories/19835/

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от bircoph (ok) on 24-Фев-11, 19:54 
> Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил.

Эти дыры давно закрыли. Конечно, незакрытые дыры есть везде. Но лучше тем, что кода меньше и он проще => безопаснее.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

6. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от Аноним (??) on 24-Фев-11, 02:02 
Вот интересно, а что же тогда адекватная замена бинду? Книжки и толковые руководства пока только под него и написаны. Теряюсь в дагадках.

Конечно заметно что с каждым годом оно всё хуже и хуже...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от Аноним (??) on 24-Фев-11, 10:36 
powerdns?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

24. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"  +/
Сообщение от анонимоус on 25-Фев-11, 11:45 
А завтра когда популярность его хоть чуть чуть повысится в нем будут находить
по 1 дырке в день.
Спасибо кушайте сами, а я лучше погрызу "кактус"(bind)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "В DNS-сервере Bind 9 обнаружена DoS-уязвимость"  +1 +/
Сообщение от увапр on 24-Фев-11, 13:43 
Только Unbound и NSD!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру