URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 420
[ Назад ]

Исходное сообщение
"Проблема с безопасностью в bind"
Отправлено liks , 24-Янв-03 15:26

У меня стоит на сервере bind 8.*.* Я столкнулся с большими проблемами, связанными с безопасностью. Просканировав сервер на наличие дыр с помощью xspider одной из уязвимостей была: возможно командная строка или ДОС атака на dns сервер. Решением её они видят поставить dns сервер высшей версии. Возможно ли сделать что-нибудь не изменяя версии bind? и вообще как можно воспользоваться командной строкой?

Содержание

RE: Проблема с безопасностью в bind,killall, 16:44 , 24-Янв-03
- RE: Проблема с безопасностью в bind,liks, 16:49 , 24-Янв-03
  - RE: Проблема с безопасностью в bind,killall, 17:37 , 24-Янв-03
    - RE: Проблема с безопасностью в bind,liks, 16:55 , 29-Янв-03
      - RE: Проблема с безопасностью в bind,Avr, 13:20 , 13-Фев-03

Сообщения в этом обсуждении

"RE: Проблема с безопасностью в bind"
Отправлено killall , 24-Янв-03 16:44

>У меня стоит на сервере bind 8.*.* Я столкнулся с большими проблемами,
>связанными с безопасностью. Просканировав сервер на наличие дыр с помощью xspider
> одной из уязвимостей была: возможно командная строка или ДОС атака
>на dns сервер. Решением её они видят поставить dns сервер
>высшей версии. Возможно ли сделать что-нибудь не изменяя версии bind? и
>вообще как можно воспользоваться командной строкой?

Вобщем так. Конечно не стоит буквально понимать все формулировки уязвимостей выводимых в прогах подобного рода, а идти туда где можно почитать об этом более подробно и главное надёжно. Так что тебе сюда: http://www.isc.org/products/BIND/bind-security.html
Потом. Если не обновляться, то извини меня как ты собираешься поддерживать должный уровень защищённости и безопасности сервера? Какой бы не был у тебя 8.x.x ты должен его обновить по крайне мере до версии 8.3.4
Понимаешь ситуация критическая. Все ранние версии содержат не просто уязвимости в самом сервере DNS, но и в библиотеке libbind (кажись так), соотвественно любое приложение использующее эту библиотеку оказывается уязвимым! И чтобы закрыть уязвимость будет мало апгрейда bind, придётся перелинковать все проги собранные с уязвимой libbind!
Вообще, если поддерживать должный уровень безопасности надо быть параноиком, ежедневно проверять все сообщения касающиеся безопасности по крайне мере того ПО и ОС, которые вертятся у тебя на серверах.
А как "воспользоваться командной строкой" я могу тебе показать, если ты скинешь ip своего DNS-сервера :-) (шутка)

"RE: Проблема с безопасностью в bind"
Отправлено liks , 24-Янв-03 16:49

thank you... почитаю
значит ты предлагаешь обновить библиотеку, если яправильно понял, пожалуйста скажи где взять новую, и в чем в принципе состоит процедура обновления: взять новую и поместить её вместо старой?

"RE: Проблема с безопасностью в bind"
Отправлено killall , 24-Янв-03 17:37

>thank you... почитаю
>значит ты предлагаешь обновить библиотеку, если яправильно понял, пожалуйста скажи где взять
>новую, и в чем в принципе состоит процедура обновления: взять новую
>и поместить её вместо старой?
Какая Ось, дистрибутив, версия?
Если Линукс тогда самый простой вариант, бежишь на сайт производителя дистрибутива. Ищешь раздел по обновлениям для своей версии дистрибутива. Скачиваешь последний апдейт для bind (rpm-пакеты). И устанавливаешь, что-то типа rpm -Fvh *.rpm (если дистрибутив конечно имеет rpm, у Debian свой тип, как с ним счас не вспомню, но также просто). Ещё проще воспользоваться специальным утилем, типа up2date как в RedHat, там можно обновить дистр полностью одной командой.
В BSD вообще есть такая штука как cvs, объяснить последовательность действий не могу, так как опыта работы с системой не имел (к сожалению)
Более сложный, но универсальный подход. Скачать исходники bind ( ftp://ftp.isc.org/isc/bind/src/8.3.4/bind-src.tar.gz ). Честно скомпилить, скопировать старые конфы и запустить. Весь порядок действий нормально описан в документации, имеющейся вместе с исходниками, надо тока их прочитать. При осторожном подходе можно сохранить старые бинарники, чтобы не нарушить работу системы, если по каким-то причинам не получится завести новый bind.
С библиотекой могут возникнуть сложности, если ты сам в ручную не собирал никакое ПО, которое бы статически линковалось к этой библе, то теоретически в системе нет таких прог, но я могу ошибаться. По крайне мере в документации по любой проге должно быть указано какие библиотеки сторонних разработчиков они использовали в своих разработках. Если таковые имеется, то вероятно их достаточно также просто обновить до current.

"RE: Проблема с безопасностью в bind"
Отправлено liks , 29-Янв-03 16:55

Стоит у меня freebsd 4.*
Проблема в другом, при установки новой версии, обновления, прийдется ли заново конфигурировать или нет?

"RE: Проблема с безопасностью в bind"
Отправлено Avr , 13-Фев-03 13:20

>Стоит у меня freebsd 4.*
>Проблема в другом, при установки новой версии, обновления, прийдется ли заново конфигурировать
>или нет?
Если обновлять через порты после CVSup то ничего перенастраивать не нужно