The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена уязвимость

05.06.2012 10:14

Представлены корректирующие выпуски DNS-сервера BIND 9.6-ESV-R7-P1, 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 с устранением удалённо эксплуатируемой уязвимости, которой присвоен статус критической проблемы безопасности. Проблема выявлена в результате внутреннего тестирования экспериментальных типов DNS-записей и проявляется во всех версиях BIND 9.x.

При добавлении полей rdata нулевой длины обработка таких полей приводит к непредвиденным последствиям - наблюдается крах серверов, выполняющих рекурсивные запросы, также не исключена ситуация утечки областей памяти сервера при эксплуатации уязвимости. Для вторичных DNS-серверов также наблюдается крах при перезапуске после передачи зоны, содержащей подобные пустые записи. На первичных DNS-серверах проблема проявляется через повреждение данных зон, созданных в режиме "auto-dnssec maintain". Не исключено и наличие других проявлений рассматриваемой проблемы. Наибольшую опасность представляют возможные атаки, направленные на вызов отказа в обслуживании серверов, обрабатывающих рекурсивные запросы, так как на авторитативных серверах проблема может проявиться только при модификации должным образом содержимого зон.

  1. Главная ссылка к новости (http://www.isc.org/software/bi...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/34008-dns
Ключевые слова: dns, bind, security, dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:33, 05/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    cd /usr/ports/dns/unbound
    make install clean
     
     
  • 2.2, flameflower (ok), 11:08, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну зачем же так радикально то?
     
  • 2.3, dhreherr (?), 11:15, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы было всё так просто. Unbound он кеширующий, свои зоны он не держит.
     
     
  • 3.5, Анонимъ (?), 11:44, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Есть еще NSD
     
     
  • 4.6, пупкин (?), 13:15, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а еще есть KNOT
     
  • 3.20, Sw00p aka Jerom (?), 23:13, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    PowerDNS и его рекурсор - отличная альтернатива
     
  • 2.9, Аноним (-), 13:56, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > cd /usr/ports/dns/unbound
    > make install clean

    А почему именно unbound, а не openntpd или там vsftpd? Бинд они заменяют примерно одинаково (т.е. никак).

     
     
  • 3.14, Аноним (-), 15:02, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему именно unbound, а не openntpd или там vsftpd? Бинд они
    > заменяют примерно одинаково (т.е. никак).

    unbound специально предназначен для защиты такого дырявого поделия как BIND - от внешки)

    да и не всем авторитарные dns нужны

     
     
  • 4.15, Аноним (-), 15:18, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > unbound специально предназначен для защиты такого дырявого поделия как BIND - от внешки)

    А слабо было разработать нормальную альтернативу бинду, а не тупой фронтенд к нему?

    > да и не всем авторитарные dns нужны

    Рекурсивные резолверы тоже не всем нужны, и что?

     
     
  • 5.18, Аноним (-), 20:12, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    http://cr.yp.to/djbdns/run-server-bind.html - нормально?)

    > Рекурсивные резолверы тоже не всем нужны, и что?

    то что не стрелять бы по воробьям зенитками =)

     

  • 1.4, Аноним (-), 11:25, 05/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сколько можно
     
     
  • 2.10, Аноним (-), 13:57, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > сколько можно

    Это ISC - эталон кривого и дырявого кода. Не нравится - есть другие решения.

     
     
  • 3.16, Ы (?), 17:30, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Есть. Да только оне как бы это сказать то ... тоже не кекс :)
     
     
  • 4.17, Аноним (-), 18:37, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что поделать, в жизни вообще нет места совершенным творениям.
     

  • 1.7, Тот самый аноним (?), 13:39, 05/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Зачем это, когда есть 8.8.8.8
     
     
  • 2.8, NOC (?), 13:47, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гугол уже зоны кастомные держит?
     
     
  • 3.11, Тот самый аноним (?), 14:00, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же
     
     
  • 4.12, Аноним (-), 14:04, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же

    Вы не поверите, но админы бывают не только у локалхостов.

     
     
  • 5.13, Тот самый аноним (?), 14:08, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же
    > Вы не поверите, но админы бывают не только у локалхостов.

    Ладно, ладно. Ушел качать.

     
  • 4.19, Оаним (?), 21:14, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же

    Там и wins подойдет )

     

  • 1.21, Аноним (-), 10:19, 06/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему в 8-STABLE и 9-STABLE патчи добавили, а в RELENG_8_X и RELENG_9_X не стали?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру