The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением уязвимостей

30.06.2017 10:01

Консорциум ISC представил новые выпуски DNS-сервера BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2, в которых устранены четыре уязвимости. Уязвимости CVE-2017-3142 и CVE-2017-3143 связанны с возможностью обхода механизмов аутентификации TSIG и позволяют удалённому атакующему выполнить операции динамического обновления или AXFR-передачи содержимого DNS-зоны без наличия ключа TSIG.

Уязвимость СVE-2017-3140 проявляется в некоторых конфигурациях RPZ (Response Policy Zones) и позволяет вызвать отказ в обслуживании через инициирование зацикливания при обработке ответка с нулевым TTL. Уязвимость CVE-2017-3141 затрагивает установщик для Windows и позволяет локальному пользователю через манипуляцию с неэкранированными путями повысить свои привилегии.

  1. Главная ссылка к новости (http://www.mail-archive.com/bi...)
  2. OpenNews: Обновление DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5 с устранением уязвимостей
  3. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  4. OpenNews: Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранением уязвимости
  5. OpenNews: Утверждён переход DNS-сервера BIND на лицензию MPLv2
  6. OpenNews: Релиз DNS-сервера BIND 9.10
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bind, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (17) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Линукс нужен не только Ли (?), 10:24, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >при обработке ответка с нулевым TTL

    Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

     
     
  • 2.2, maximnik0 (?), 10:50, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • –8 +/
    >Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

    По крайне мере с нулевым TTL письма и  пакеты уходят на расстояние около 80-120 миль :-)
    Источник - глупые ошибки и байки администратора (библиотека Машкова) .Там описывался случай когда сервер с Солярисом находящим на гарантийном обслуживание обновили не глядя специалисты Сан, а Sendmail местный админ поставил более свежий .И новые конфиги старая версия программы не поняла и установили многие параметры по умолчанию в 0 .И админ не мог не как понять почему нечего дальше на это расстояние не уходит....

     
     
  • 3.3, pkdr (ok), 11:48, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А причём тут вообще sendmail?
    Он работает на два уровня выше, чем IP, поэтому версия сендмейл в принципе никак не влияет на TTL в IP пакетах, ибо это совершенно не его забота, что содержится внутри IP пакета и он его не формирует.
     
     
     
     
    Часть нити удалена модератором

  • 6.8, Аноним (-), 12:34, 30/06/2017 [ответить]  
  • +/
    Аноним перепутал, там речь шла не о ttl.
     
  • 3.9, ryoken (ok), 12:42, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.
    > По крайне мере с нулевым TTL письма и  пакеты уходят на
    > расстояние около 80-120 миль :-)

    А не на 550? В памяти это число почему-то после того рассказа висит :).

     
  • 2.4, notte (?), 11:57, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    где ты ваще увидел упоминание ip-пакетов в новости? там какбэ про bind, так может речь идёт о ttl для днс-зоны, не?
     
  • 2.13, Ergil (ok), 15:51, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Речь про DNS'ный TTL. Время жизни записи.
     
  • 2.19, Аноним (-), 20:49, 01/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Маршрутизатор заглядывает на прикладной уровень и смотрит DNS'ный TTL? А почта, идущая на foo@localhost должна быть отброшена маршрутизатором?
     

  • 1.7, J.L. (?), 12:33, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    //offtop
    тока вчера Лёню Поттера ругали за дырки и требовали ставить бинд вместо его с-д-резолвера
     
     
  • 2.12, Аноним (-), 15:21, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Сейчас тебе костномозглые сверхразумы расскажут, что в systemd баг потому что там дураки, а тут два бага потому что система сложная :)
     
     
  • 3.15, _ (??), 20:37, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно это сделаю я?

    Сравни новость с:
    Критическая уязвимость в systemd: удалённое выполнение кода
    ...
    Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

    и подумай. На bind'ах тоже было несладко 10-15-20 лет назад :) Но более-менее зашкурили и закрасили :-))) А с лёниным изделием следующие года будут явно нескучными ....

     
     
  • 4.17, Аноним (-), 20:47, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимость, которая по умолчанию выключена (в Debian, как минимум) и требует использования DNS-сервера злоумышленника vs обход TSIG для AXFR зон. Хорошо, что у меня все Bind зафаерволены по самое небалуй и принимают трансферы зон только с одного доверенного IP из подсети, которая за пределами AS даже не видна. А то я бы уже нервничал.
     

  • 1.10, ryoken (ok), 12:44, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
    > пользователю через манипуляцию
    > с неэкранированными путями повысить свои привилегии.

    BIND для Win? А, хм, нафейхоа?

     
     
  • 2.11, J.L. (?), 13:53, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
    >> пользователю через манипуляцию
    >> с неэкранированными путями повысить свои привилегии.
    > BIND для Win? А, хм, нафейхоа?

    а вдруг роскомнадзор убунту забанит?

     

  • 1.14, Аноним (-), 17:21, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org/msg00460.html)
    > затрагивает установщик для  Windows и позволяет локальному пользователю через манипуляцию
    > с неэкранированными путями повысить свои привилегии.

    Т.е. на венде возможность создавать файлы вне хомяка и тмп для любого пользователя -- все еще норма? Сикурити аж изо всех щелей, да!

     
     
  • 2.16, _ (??), 20:38, 30/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Чёйта?! Точно так же как и в линуксе к примеру. Как настроишь - так и будет....
     
     
  • 3.18, Аноним (-), 13:15, 01/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Чёйта?! Точно так же как и в линуксе к примеру.
    > Как настроишь - так и будет....

    Понятно, настройки по умолчанию все еще не изменились.
    И правильно - легаси и обратная совместимость с win 9.x рулят, да.
    Это же не кнопка пуск или плиточки, в виде новаторства впарить не очень выйдет, а вот проблем с поддержкой и всевозможным старьем не оберешься.


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру