URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 81348
[ Назад ]
Исходное сообщение
"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено opennews , 16-Ноя-11 21:15
Консорциум ISC уведомил (http://www.isc.org/software/bind/advisories/cve-2011-tbd) пользователей об обнаружении в DNS-сервере BIND 9 уязвимости, позволяющей удалённо вывести DNS-сервер из строя, отправив специально сформированный рекурсивный запрос. Подробности о методе совершения атаки не сообщаются, известно только то, что данная уязвимость уже активно эксплуатируется злоумышленниками в сети. Исправление пока недоступно, но в ISC обещает опубликовать патч в ближайшие часы, после завершения его тестирования. В качестве обходного пути защиты можно ограничить выполнение рекурсивных запросов только для доверительных хостов. Уязвимости подвержены все версии BIND 9.x. Определить факт атаки можно по краху named с выводом в лог записи "INSIST(! dns_rdataset_isassociated(sigrdataset))".
URL: http://www.isc.org/software/bind/advisories/cve-2011-tbd
Новость: http://www.opennet.me/opennews/art.shtml?num=32322
Содержание
- Опасная DoS-уязвимость в DNS-сервере BIND 9,Mr. Mistoffelees, 21:18 , 16-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9,Аноним, 22:10 , 16-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9,Vladimir Rusinov, 13:14 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 00:34 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 00:58 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,pavlinux, 01:16 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Сергей, 02:44 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 05:27 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Сергей, 11:41 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,konst, 04:05 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 05:32 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 05:25 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 02:05 , 18-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,x, 07:58 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Нано анон, 10:45 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 11:08 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 12:37 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 12:45 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 18:09 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,qwerty, 18:30 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,J.K., 23:15 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 15:30 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,gyouja, 16:50 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 18:04 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Клыкастый, 19:12 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Анонимз, 17:52 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,metallic, 19:30 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 11:31 , 18-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,ACCA, 07:08 , 19-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Анонимз, 11:53 , 21-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Lol, 06:20 , 21-Дек-11
Сообщения в этом обсуждении
"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено Mr. Mistoffelees , 16-Ноя-11 21:18
Гм, кто же это держит ra на своем DNS сервере открытым для всего мира?
"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено Аноним , 16-Ноя-11 22:10
> Гм, кто же это держит ra на своем DNS сервере открытым для всего мира?Не факт, что рекурсия для внешних сетей должна быть разрешена для эксплуатации этой уязвимости.
Помнится, не так давно в бинде была очередная дос-дыра, с падением от запроса на обновление зоны. Срабатывала, даже если это действие было запрещено.
"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено Vladimir Rusinov , 17-Ноя-11 13:14
Почти все провайдеры, google (8.8.8.8, 8.8.4.4), OpenDNS и еще куча народу.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 00:34
Традиция раз в полгода находить в бинде дыры, приводящие к краху.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 00:58
Debian, прилетели обновления.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено pavlinux , 17-Ноя-11 01:16
Я первый увидел!!! :)
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Сергей , 17-Ноя-11 02:44
BIND 9.6-ESV-R1 лёг
BIND 9.3.4 не лёг
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 17-Ноя-11 05:27
Чем проверяли? Или просто само так вышло?
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Сергей , 17-Ноя-11 11:41
Сказали лёг dns, как раз читал эту новость. grep'нул логи и нашёл завал сервера после этого сообщения. Кто-то проверил за меня :)
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено konst , 17-Ноя-11 04:05
>BIND 9.3.4 не лёгBIND 9.3.6 даже не соизволил обновится
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 17-Ноя-11 05:32
> BIND 9.3.6 даже не соизволил обновится Так не на что пока. ISC эти версии уже не поддерживает, дистрибутивы сегодня только пытаются понять подвержены ли эти старые версии проблеме и как их правильно пропатчить. Возможно, кто-то выпустит обновление с пробным патчем еще не разобравшись, а кто-то подождет еще.
Даже в новых версиях BIND еще сам ISC толком не знает суть проблемы. Предлагаемый для них патч - это workaround.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 17-Ноя-11 05:25
Вот моя попытка понять подвержены ли проблеме версии BIND 9.3.x (официально уже не поддерживаемые ISC) и сборки BIND без поддержки DNSSEC:http://www.openwall.com/lists/oss-security/2011/11/17/2
Пока получается "может быть" и "скорее всего нет", соответственно. Точного ответа пока нет.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 18-Ноя-11 02:05
По анализу кода, получается что на 9.3.x проблема проявляется только при включенной опции dnssec-enable, тогда как на 9.4.x+ и без нее тоже:http://www.openwall.com/lists/oss-security/2011/11/17/13
При этом то собран ли BIND с OpenSSL (нужен для полной поддержки DNSSEC) или нет роли не играет.
Тем временем, Red Hat выпустил обновление для 9.3.6 в RHEL5:
https://rhn.redhat.com/errata/RHSA-2011-1458.html
Они патчат как query.c, так и rbtdb.c (аналогично тому как это делается в патче от ISC), хотя maintainer пакета считает достаточными изменения в query.c (и мой вывод о том что требуется опция dnssec-enable на это полагается):
http://www.openwall.com/lists/oss-security/2011/11/17/11
Там же - обоснованное мнение, что 9.2.x и старее проблеме не подвержены.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено x , 17-Ноя-11 07:58
Что-то в разделе SECURITY ADVISORIES на сайте freebsd.org молчок как про bind, так и про недавно найденый баг в openpam.Считают последние две баги несерьёзными что-ли? Или начали перенимать традиции Adobe и M$ неисправлять баги месяцами?
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Нано анон , 17-Ноя-11 10:45
Да уж.. может им некогда-идет работа по девятому релизу?
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 11:08
> Что-то в разделе SECURITY ADVISORIES на сайте freebsd.org молчок как про bind, так и про недавно найденый баг в openpam.Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость). Про корректное исправление дыры в Bind пока мало даже в ISC знают, выпущенный апдейт лишь обходной путь.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 12:37
> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость).А ничего, что это именно уязвимость, и именно в базовой системе?
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 12:45
> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость)То есть, тот факт, что можно поиметь рута через дыру _в базовой системе_ - это ни разу не уязвимость?
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 18:09
> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость).1. Дыра находится в OpenPAM, являющемся компонентом базовой системы.
2. Кто может гарантировать, что программа kcheckpass является единственным методом эксплуатации этой дыры?
> Про корректное исправление дыры в Bind пока мало даже в ISC
> знают, выпущенный апдейт лишь обходной путь.
Уязвимость активно эксплуатируется в настоящее время. Исправление от вендора есть.
Команда FreeBSD игнорирует сложившуюся ситуацию. Какими цветистыми словесами это не прикрывай, все равно погано выглядит.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено qwerty , 17-Ноя-11 18:30
Тем более абсурдно ситуация выглядит в том, что в портах бинд пропатчили, а бинд в базовой системе не тронули. Странное какая-то ситуация, первый раз такой пох..зм вижу от разработчиков BSD.Может секьюрити офицер в запое? :)
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено J.K. , 17-Ноя-11 23:15
о месные оналитеги подтянулись... у них видимо запой как раз закончился..
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 15:30
Какую альтернативу использовать? DJBDNS?
Спасибо!
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено gyouja , 17-Ноя-11 16:50
> Какую альтернативу использовать? DJBDNS?
> Спасибо!Для обработки рекурсивных запросов и если не нужны views - powerdns.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 18:04
> powerdns.pdns-recursor разве что. В качестве authoritative весьма слаб по фичам.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Клыкастый , 17-Ноя-11 19:12
PowerDNS тоже не торт :(
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Анонимз , 17-Ноя-11 17:52
Unbound
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено metallic , 17-Ноя-11 19:30
Какие требования? DNS-кластер нужен?
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 18-Ноя-11 11:31
> Какие требования?Требования у всех разные. Абсолютному большинству требований, к сожалению, удовлетворяет только BIND.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено ACCA , 19-Ноя-11 07:08
djbdns не обрабатывает рекурсивные запросы, для этого у DJ есть dnscache. Работает замечательно.
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Анонимз , 21-Ноя-11 11:53
tinydns + dnscache = djbdns
"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Lol , 21-Дек-11 06:20
Спасибо собрал Nsd + chroot