The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.01.2018 13:16  В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI на производительность BIND

Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости (CVE-2017-3145), которую можно использовать для инициирования отказа в обслуживании (крах процесса named) при выполнении рекурсивного запроса к DNS-серверу, подконтрольному злоумышленнику. Проблема проявляется только при работе BIND в качестве резолвера с поддержкой DNSSEC (в качестве обходного пути защиты можно отключить DNSSEC).

Кроме того, в очередном обновлении ISC DHCP также устранена уязвимость (CVE-2017-3144), которую можно использовать для инициирования отказа в обслуживании (исчерпание доступных сокетов) через установку большого числа специально оформленных соединений к OMAPI, которые остаются незакрытыми. В качестве обходного пути защиты можно ограничить доступ к сетевому порту OMAPI.

Разработчики из ISC также опубликовали отчёт с результатами тестирования влияния патчей для устранения уязвимости Meltdown в ядре Linux (патчи KPTI) на производительность DNS-сервера с BIND 9. Для тестирования использовался сервер Dell R430 с 12-ядерным CPU Xeon E5-2680 v3 и 10-гигабитным Ethernet Intel X710, на который был установлен дистрибутив Fedora 27 с ядром Linux 4.14.11-300.fc27.x86_64. Расхождения в производительности с защитой от Meltdown и без активации патча оцениваются как несущественные.



  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Консорциум ISC представил DHCP-сервер Kea 1.3
  3. OpenNews: Сайт консорциума ISC, развивающего BIND и DHCP, подвергся взлому
  4. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  5. OpenNews: Обновление DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5 с устранением уязвимостей
  6. OpenNews: Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns, bind, dhcp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 13:31, 17/01/2018 [ответить] [смотреть все]     [к модератору]
  • +5 +/
    Да заbейте на потери производительности Все равно лучше, чем 10 лет назад А 10... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 13:56, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если сервер немного старее пары поколений просадка значительная и нужно покупать... весь текст скрыт [показать]
     
  • 2.3, Аноним, 13:57, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Ну это как посмотреть, на локалхосте конечно незаметно А на реальных боевых сер... весь текст скрыт [показать]
     
     
  • 3.8, Аноним, 15:05, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...
     
     
  • 4.10, leap42, 16:00, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...

    nopti же, чай не винда

     
     
  • 5.15, Аноним, 23:23, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Надо было назвать "yespwnzormysystemplease" вместо nopti. Чтобы понятнее было.
     
  • 5.19, Stax, 20:46, 19/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да, в винде для того же самого ключ в реестре ставить надо - чай не линукс.
     
     
  • 6.20, виндотролль, 22:46, 20/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ключ небось называется HKLM/Microsoft/Windows/System/System32/Roaming/Local/Data/NT/4.0/e10575f3-c38e-452f-8723-77dd991381d4, имеет тип HEX и для отключения надо сменить 0xFF на 0xFE по смещению 0x39.
     
  • 4.14, pavlinux, 18:56, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    >  Но всем по умолчанию...

    омномномный анал литег, vmlinuz-4.14 nopti ....

     
  • 2.6, Аноним, 14:38, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    10 лет назад мы не страдали, имея софт 10 летней давности.
     
     
  • 3.7, Andrey Mitrofanov, 14:46, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > 10 лет назад мы не страдали, имея софт 10 летней давности.

    А без Meltdown-а-то как хорошо-то было-то[I]![/I]
       Pentium DIV bug просвистел, пронесло-пронёсся.  Не задержался.
    https://duckduckgo.com/?q=ignorance+is&t=ffab&iax=images&ia=images
    https://www.fsfla.org/~lxoliva/fsfla/singular.en.pdf

     
  • 3.16, bOOster, 08:51, 19/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты, обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не привязаны.
     
     
  • 4.17, bOOster, 08:55, 19/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные
    > алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо
    > изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл
    > и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных
    > математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты,
    > обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не
    > привязаны.

    Обратите внимание - на очередной бред фильтров, и их настройщиков - эти слова являются неприемлимыми!! Первое ладно, а второе уже просто диктатура какая-то. Обычное слово п\о\делка тоже под цензурой. Прямое нарушение свободы слова. Просто пи\c\дец, маразм крепчает.

     
  • 2.9, iCat, 15:13, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >...10 лет назад мы не страдали.

    10 лет назад нагрузочи на DNS были в разы ниже...

     
     
  • 3.18, bOOster, 11:19, 19/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    На ОДИН СЕРВЕР все было приблизительно также.
     
  • 1.4, умник, 13:58, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    > через наводнение специально оформленными соединениями

    чтобы понять эту фразу, её надо обратно на английский перевести

     
     
  • 2.5, A.Stahl, 14:03, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    Сначала с неба посыпалась саранча, потом жабы а после и вовсе специально оформленные соединения. Прогневили админы Верховный Маршрутизатор...
     
  • 1.11, Аноним, 16:15, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Странным становится график, начиная с 300 000 запросов Получается, что без PTI ... весь текст скрыт [показать]
     
     
  • 2.12, Аноним, 16:17, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Поправил Странным становится график, начиная с 300 000 запросов Получается, чт... весь текст скрыт [показать]
     
     
  • 3.13, Andrey Mitrofanov, 16:36, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без
    > PTI (голубой #1) латентность даже больше, чем c PTI.

    Да, он так и пишет:

    " The first pair of runs (the first done with KPTI, the second without) gave a surprising result – the latency at high query rates was about 8% lower with KPTI than without, when it was expected to be higher! "

    Но оно на то и _исследование_, чтобы копать глубже.  Исследователь сделал #2, где с PTI медленнее, как и положено, чем без PTI. Нужный результат достигнут, нужные выводы сделаны:

    " My conclusion therefore is that some other unidentified variable is responsible for the variability shown, [...]  that caused by the Meltdown mitigation patch (KPTI) which in turn appears to be relatively insignificant. "

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor