https://www.opennet.me/openforum/vsluhforumID3/81348.html Консорциум ISC уведомил (http://www.isc.org/software/bind/advisories/cve-2011-tbd) пользователей об обнаружении в DNS-сервере BIND 9 уязвимости, позволяющей удалённо вывести DNS-сервер из строя, отправив специально сформированный рекурсивный запрос. Подробности о методе совершения атаки не сообщаются, известно только то, что данная уязвимость уже активно эксплуатируется злоумышленниками в сети. <br><br><br><br>Исправление пока недоступно, но в ISC обещает опубликовать патч в ближайшие часы, после завершения его тестирования. В качестве обходного пути защиты можно ограничить выполнение рекурсивных запросов только для доверительных хостов. Уязвимости подвержены все версии BIND 9.x. Определить факт атаки можно по краху named с выводом в лог записи "INSIST(! dns_rdataset_isassociated(sigrdataset))".<br><br>URL: http://www.isc.org/software/bind/advisories/cve-2011-tbd<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=32322<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#40 Wed, 21 Dec 2011 02:20:28 GMT Спасибо собрал Nsd + chroot<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#39 Mon, 21 Nov 2011 07:53:19 GMT tinydns + dnscache = djbdns<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#38 Sat, 19 Nov 2011 03:08:31 GMT djbdns не обрабатывает рекурсивные запросы, для этого у DJ есть dnscache. Работает замечательно.<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#37 Fri, 18 Nov 2011 07:31:20 GMT &gt; Какие требования?<br><br>Требования у всех разные. Абсолютному большинству требований, к сожалению, удовлетворяет только BIND.<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#36 Thu, 17 Nov 2011 22:05:52 GMT По анализу кода, получается что на 9.3.x проблема проявляется только при включенной опции dnssec-enable, тогда как на 9.4.x+ и без нее тоже:<br><br>http://www.openwall.com/lists/oss-security/2011/11/17/13<br><br>При этом то собран ли BIND с OpenSSL (нужен для полной поддержки DNSSEC) или нет роли не играет.<br><br>Тем временем, Red Hat выпустил обновление для 9.3.6 в RHEL5:<br><br>https://rhn.redhat.com/errata/RHSA-2011-1458.html<br><br>Они патчат как query.c, так и rbtdb.c (аналогично тому как это делается в патче от ISC), хотя maintainer пакета считает достаточными изменения в query.c (и мой вывод о том что требуется опция dnssec-enable на это полагается):<br><br>http://www.openwall.com/lists/oss-security/2011/11/17/11<br><br>Там же - обоснованное мнение, что 9.2.x и старее проблеме не подвержены.<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#35 Thu, 17 Nov 2011 19:15:06 GMT о месные оналитеги подтянулись... у них видимо запой как раз закончился..<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#34 Thu, 17 Nov 2011 15:30:33 GMT Какие требования? DNS-кластер нужен?<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#33 Thu, 17 Nov 2011 15:12:01 GMT PowerDNS тоже не торт :(<br> https://www.opennet.me/openforum/vsluhforumID3/81348.html#32 Thu, 17 Nov 2011 14:30:55 GMT Тем более абсурдно ситуация выглядит в том, что в портах бинд пропатчили, а бинд в базовой системе не тронули. Странное какая-то ситуация, первый раз такой пох..зм вижу от разработчиков BSD.<br><br>Может секьюрити офицер в запое? :)<br>