The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от opennews on 30-Июн-17, 10:24 
Консорциум ISC представил новые выпуски DNS-сервера BIND 9.11.1-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...), 9.10.5-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...) и 9.9.10-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...), в которых устранены четыре уязвимости. Уязвимости CVE-2017-3142 (https://kb.isc.org/article/AA-01504) и CVE-2017-3143 (https://kb.isc.org/article/AA-01503) связанны с возможностью обхода механизмов аутентификации TSIG и позволяют удалённому атакующему выполнить операции динамического обновления или  AXFR-передачи содержимого DNS-зоны без наличия ключа TSIG.


Уязвимость СVE-2017-3140 (http://www.mail-archive.com/bind-announce@lists.isc.org...) проявляется в некоторых конфигурациях RPZ (Response Policy Zones) и позволяет вызвать отказ в обслуживании через инициирование зацикливания при обработке ответка с нулевым TTL. Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org...) затрагивает установщик для  Windows и позволяет локальному пользователю через манипуляцию с неэкранированными путями повысить свои привилегии.

URL: http://www.mail-archive.com/bind-announce@lists.isc.org...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46786

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от Линукс нужен не только Ли on 30-Июн-17, 10:24 
>при обработке ответка с нулевым TTL

Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  –8 +/
Сообщение от maximnik0 on 30-Июн-17, 10:50 
>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

По крайне мере с нулевым TTL письма и  пакеты уходят на расстояние около 80-120 миль :-)
Источник - глупые ошибки и байки администратора (библиотека Машкова) .Там описывался случай когда сервер с Солярисом находящим на гарантийном обслуживание обновили не глядя специалисты Сан, а Sendmail местный админ поставил более свежий .И новые конфиги старая версия программы не поняла и установили многие параметры по умолчанию в 0 .И админ не мог не как понять почему нечего дальше на это расстояние не уходит....

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +2 +/
Сообщение от pkdr (ok) on 30-Июн-17, 11:48 
А причём тут вообще sendmail?
Он работает на два уровня выше, чем IP, поэтому версия сендмейл в принципе никак не влияет на TTL в IP пакетах, ибо это совершенно не его забота, что содержится внутри IP пакета и он его не формирует.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору
Часть нити удалена модератором

8. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от Аноним (??) on 30-Июн-17, 12:34 
Аноним перепутал, там речь шла не о ttl.
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от ryoken (ok) on 30-Июн-17, 12:42 
>>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.
> По крайне мере с нулевым TTL письма и  пакеты уходят на
> расстояние около 80-120 миль :-)

А не на 550? В памяти это число почему-то после того рассказа висит :).

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +1 +/
Сообщение от notte on 30-Июн-17, 11:57 
где ты ваще увидел упоминание ip-пакетов в новости? там какбэ про bind, так может речь идёт о ttl для днс-зоны, не?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от Ergil (ok) on 30-Июн-17, 15:51 
Речь про DNS'ный TTL. Время жизни записи.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от Аноним (??) on 01-Июл-17, 20:49 
Маршрутизатор заглядывает на прикладной уровень и смотрит DNS'ный TTL? А почта, идущая на foo@localhost должна быть отброшена маршрутизатором?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +1 +/
Сообщение от J.L. on 30-Июн-17, 12:33 
//offtop
тока вчера Лёню Поттера ругали за дырки и требовали ставить бинд вместо его с-д-резолвера
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  –4 +/
Сообщение от Аноним (??) on 30-Июн-17, 15:21 
Сейчас тебе костномозглые сверхразумы расскажут, что в systemd баг потому что там дураки, а тут два бага потому что система сложная :)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +1 +/
Сообщение от _ (??) on 30-Июн-17, 20:37 
А можно это сделаю я?

Сравни новость с:
Критическая уязвимость в systemd: удалённое выполнение кода
...
Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

и подумай. На bind'ах тоже было несладко 10-15-20 лет назад :) Но более-менее зашкурили и закрасили :-))) А с лёниным изделием следующие года будут явно нескучными ....

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от Аноним (??) on 30-Июн-17, 20:47 
Уязвимость, которая по умолчанию выключена (в Debian, как минимум) и требует использования DNS-сервера злоумышленника vs обход TSIG для AXFR зон. Хорошо, что у меня все Bind зафаерволены по самое небалуй и принимают трансферы зон только с одного доверенного IP из подсети, которая за пределами AS даже не видна. А то я бы уже нервничал.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

10. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от ryoken (ok) on 30-Июн-17, 12:44 
> Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
> пользователю через манипуляцию
> с неэкранированными путями повысить свои привилегии.

BIND для Win? А, хм, нафейхоа?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от J.L. on 30-Июн-17, 13:53 
>> Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
>> пользователю через манипуляцию
>> с неэкранированными путями повысить свои привилегии.
> BIND для Win? А, хм, нафейхоа?

а вдруг роскомнадзор убунту забанит?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от Аноним (??) on 30-Июн-17, 17:21 
>  Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org...)
> затрагивает установщик для  Windows и позволяет локальному пользователю через манипуляцию
> с неэкранированными путями повысить свои привилегии.

Т.е. на венде возможность создавать файлы вне хомяка и тмп для любого пользователя -- все еще норма? Сикурити аж изо всех щелей, да!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от _ (??) on 30-Июн-17, 20:38 
Чёйта?! Точно так же как и в линуксе к примеру. Как настроишь - так и будет....
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."  +/
Сообщение от Аноним (??) on 01-Июл-17, 13:15 
> Чёйта?! Точно так же как и в линуксе к примеру.
> Как настроишь - так и будет....

Понятно, настройки по умолчанию все еще не изменились.
И правильно - легаси и обратная совместимость с win 9.x рулят, да.
Это же не кнопка пуск или плиточки, в виде новаторства впарить не очень выйдет, а вот проблем с поддержкой и всевозможным старьем не оберешься.


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру