| |
| 2.3, Aleksey (??), 11:30, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– | |
"Updates are also being released for a variety of other platforms since this is a problem with the DNS protocol itself, not a specific implementation. The good news is this is a really strange situation where the fix does not immediately reveal the vulnerability and reverse engineering isn’t directly possible."
Ага, видимо все просто плохо.
| | |
| 2.49, DAN (??), 19:07, 11/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
складывается впечатление что комментирование строки
// query-source address * port 53;
в bind
решает все проблемы, по кр мере если судить по http://doxpara.com/
| | |
|
| |
| 2.9, nrza (?), 11:58, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Опять? То есть, снова? То есть, как всегда, BIND...
написано же, баг протокола, а не bind.
| | |
| |
| 3.10, terminus (ok), 12:14, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Тем не менее, те кеш сервера которые используют технику пандомизации портов (PowerDNS, Unbound, djbdns) это не затрагивает...
PowerDNS признан безопасным, статус Unbound пока не установлен, но по-ходу так же не затрагивает...
| | |
| |
| 4.27, User294 (ok), 18:43, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>PowerDNS признан безопасным,
На вид похоже на логический баг протокола DNS который позволяет аттакеру загнать в кеши серверам фуфел.
> PowerDNS признан безопасным
А где это написано? В новости указано только то что там указанный функционал вынесен в отдельный продукт - ресольвер.Про его (не)уязвимость ровным счетом ничего внятного.
> статус Unbound пока не установлен
Во-во.
> но по-ходу так же не затрагивает...
Так по ходу или не затрагивает?Извините, баг или есть или нет.Никаких по ходу тут быть не может.Учитывая что это похоже на логический баг в протоколе DNS что-то я не разделяю вашего неуемного оптимизма.Боком потом такой оптимизм выходит :\
| | |
| |
| |
| 6.33, User294 (ok), 20:45, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Про Unbound отписали в mail листе
>Про PowerDNS
Во, так сразу и надо говорить.
| | |
|
|
| 4.32, Sem (ok), 20:38, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
 Автор Unbound заявляет, что не затрагивает. Тесты подтверждают его слова.
| | |
|
|
|
| 1.6, Аноним (6), 11:39, 09/07/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears to be safe. Походу это только BIND затрагивает.
| | |
| |
| 2.16, Xavier (?), 13:17, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.
а там верно указан адрес вашего ДНС-сервера? У меня проверилась прокся, которая с ДНС-сервером нифига не совпадает.
| | |
| 2.17, zoonman (ok), 13:32, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.
а где эту страницу найти можно?
| | |
| 2.36, ig0r (??), 22:51, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Проверил виндовый DNS на тестовой странице. Your name server, at ***.***.***.***, appears
>to be safe. Походу это только BIND затрагивает.
а днс ваш случайно не за натом? у меня бинд тоже так пишет когда за натом находится.
| | |
|
| 1.7, Аноним (7), 11:47, 09/07/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> полную защиту от данного вида атак может обеспечить только использование DNSSEC
Так и надо делать
| | |
| |
| 2.34, User294 (ok), 20:53, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>> полную защиту от данного вида атак может обеспечить только использование DNSSEC
>Так и надо делать
Это наверное как и IP v6 - все знают что надо и придется, но реализовывать на практике не спешат ибо кто ж хочет много нового геморроя? :)
| | |
|
| 1.14, spamtrap (ok), 13:10, 09/07/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а ссылку на технические подробности кто-нить может дать? а то, почитав некоторые новости, складывается ощущение, что полинета в панике от новой суперугрозы, а в чём угроза - непонятно, поэтому ещё страшнее :)
| | |
| 1.20, Touch (?), 15:03, 09/07/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
что-то не понял обновился до 9.3.5-P1, а всё равно на сайте пишет что уязвим :(
| | |
| |
| 2.21, lomo (?), 16:31, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>что-то не понял обновился до 9.3.5-P1, а всё равно на сайте пишет
>что уязвим :(
Я вот тоже не понял.. У меня все то, что выставлено наружу - все без рекурсии.
И все равно пишет, что уязвим..
| | |
| |
| 3.42, Indigo (??), 11:01, 10/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
 Порт каждый раз при проверке один и тот же? Поищите в конфигах строку с "query-source". Там не должно быть числа после "port", там должны быть звездочка.
Как "query-source port *;"
| | |
| |
| 4.45, lomo (?), 17:43, 10/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Порт каждый раз при проверке один и тот же? Поищите в конфигах
>строку с "query-source". Там не должно быть числа после "port", там
>должны быть звездочка.
>Как "query-source port *;"
У меня вот так:
query-source address * port 53;
Почему это порочно? :)
| | |
| |
| 5.48, Indigo (??), 13:02, 11/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
Потому что все запросы самого сервера идут с одного порта. А значит именно на этот порт может прийти фейк-ответ, его даже вычислять не надо. И в кэше вашего сервера окажется нужная злоумышленнику запись.
| | |
|
|
|
|
| 1.23, citrin (??), 16:41, 09/07/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 IMHO этот Dan Kaminsky просто удачно пропиарился.
Об этой уязвимости было известно очень давно, но на практике использовать её почти нереально. Так что поводов для беспокойства нет.
16 бит для query id это мало, но с учётом того, что за несколько сотен миллисекунд (а чаще и того меньше) нужно послать на атакуемый рекурсор N*65535 пакетов, сделать это почти нереально.
| | |
| |
| 2.26, Аноним (7), 18:33, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
>
Ну да - а чего же сами ICS плачутЪ? Нет бы гордо заявить что всё это планктон ....
| | |
| |
| 3.28, Freedom (?), 19:04, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>Первый думающий человек в этой ветке, а не жующий пиво планктон )))))
>>
>
>Ну да - а чего же сами ICS плачутЪ? Нет бы гордо
>заявить что всё это планктон ....
они не плачут, а публично реагирует на поднятую волну. То что они знали раньше о проблеме и забивали на нее, это другой вопрос.
| | |
|
|
| |
| 2.30, Аноним (-), 20:13, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Даже для жующего пива планктона тоже не плохо обновиться
Регулярно обновляться вообще рулез
| | |
|
| 1.31, Ононим (?), 20:27, 09/07/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
дебиановский пакет биндов уже пофиксен похоже. ни на етче ни на ленни проверка не показала уязвимость :)
| | |
| 1.35, Аноним (6), 21:13, 09/07/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Бага в BIND :D
Зато сразу повсплывали все подделки, чеснокоммуниздящие куски кода от биндов.
может разработчики просто хотели выцепить код-стилеров?;)
| | |
| |
| 2.37, citrin (??), 23:01, 09/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Бага в BIND :D
>Зато сразу повсплывали все подделки, чеснокоммуниздящие куски кода от биндов.
Это не бага а архитектурное решение. И в том, что у многих серверов оно общее нет ничего удивительно, выбирать в данном случае приходится из двух вариантов: слать разнве запросы с одного src-port (как раньше было сделано в bind) или использовать для каждого запроса новый порт (как сделали сейчас).
Первый вариант производительнее, и поэтому популярнее.
| | |
| |
| 3.41, borman (?), 10:33, 10/07/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Кстати, нелишним будет проверить конфигурационные файлы на наличие директивы query-source. Если там указан статический порт (что-то вроде query-source * port 1053), то обновления будут бесполезными, нужно ее закомментировать.
Так, на всякий случай...
| | |
| |
| 4.43, Андрей (??), 12:55, 10/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
После обновления BINDа, windows клиенты перестали резолвить адреса. под linux все ок, видимо все таки кривизна патча.
| | |
| 4.46, longers (??), 19:26, 10/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
Ну а как же тогда вот это?
If there is a firewall between you and nameservers you want to talk to, you might need to uncomment the query-source directive below. Previous versions of BIND always asked questions using port 53, but BIND versions 8 and later use a pseudo-random unprivileged UDP port by default.
| | |
| |
| 5.47, max (??), 07:48, 11/07/2008 [^] [^^] [^^^] [ответить]
| +/– |
по поводу bind'а во FreeBSD.
А не была-ли пофиксина эта проблема в FreeBSD-SA-07:07.bind от 2007-08-01?
| | |
| |
| |
| |
| 8.52, Аноним (7), 18:56, 12/07/2008 [^] [^^] [^^^] [ответить] | +/– | Я гуглил по этому поводу и нагуглил только http webwereld nl comments 51828 dn... текст свёрнут, показать | | |
| 8.53, max (??), 07:45, 14/07/2008 [^] [^^] [^^^] [ответить] | +/– | В FreeBSD-SA-07 07 bind написано Problem Description When named 8 is operat... текст свёрнут, показать | | |
| |
| 9.54, max (??), 08:04, 14/07/2008 [^] [^^] [^^^] [ответить] | +/– | Ан нет, путаю Вышло уведомление FreeBSD-SA-08 06 bind от 2008-07-13 ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| |
| 2.64, Sem (ok), 01:05, 22/10/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Бернштайн форева ) Я всегда нос от бинда воротил
Только умер он. djbdns я имею ввиду. Не развивается нисколько.
| | |
|
|
