URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 81348
[ Назад ]

Исходное сообщение
"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено opennews , 16-Ноя-11 21:15

Консорциум ISC уведомил (http://www.isc.org/software/bind/advisories/cve-2011-tbd) пользователей об обнаружении в DNS-сервере BIND 9 уязвимости, позволяющей удалённо вывести DNS-сервер из строя, отправив специально сформированный рекурсивный запрос. Подробности о методе совершения атаки не сообщаются, известно только то, что данная уязвимость уже активно эксплуатируется злоумышленниками в сети.
Исправление пока недоступно, но в ISC обещает опубликовать патч в ближайшие часы, после завершения его тестирования. В качестве обходного пути защиты можно ограничить выполнение рекурсивных запросов только для доверительных хостов. Уязвимости подвержены все версии BIND 9.x. Определить факт атаки можно по краху named с выводом в лог записи "INSIST(! dns_rdataset_isassociated(sigrdataset))".
URL: http://www.isc.org/software/bind/advisories/cve-2011-tbd
Новость: http://www.opennet.me/opennews/art.shtml?num=32322

Содержание

Опасная DoS-уязвимость в DNS-сервере BIND 9,Mr. Mistoffelees, 21:18 , 16-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9,Аноним, 22:10 , 16-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9,Vladimir Rusinov, 13:14 , 17-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 00:34 , 17-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 00:58 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,pavlinux, 01:16 , 17-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Сергей, 02:44 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 05:27 , 17-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Сергей, 11:41 , 17-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,konst, 04:05 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 05:32 , 17-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 05:25 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,solardiz, 02:05 , 18-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,x, 07:58 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Нано анон, 10:45 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 11:08 , 17-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 12:37 , 17-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 12:45 , 17-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 18:09 , 17-Ноя-11
    - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,qwerty, 18:30 , 17-Ноя-11
      - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,J.K., 23:15 , 17-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 15:30 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,gyouja, 16:50 , 17-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 18:04 , 17-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Клыкастый, 19:12 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Анонимз, 17:52 , 17-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,metallic, 19:30 , 17-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Аноним, 11:31 , 18-Ноя-11
- Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,ACCA, 07:08 , 19-Ноя-11
  - Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Анонимз, 11:53 , 21-Ноя-11
Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл...,Lol, 06:20 , 21-Дек-11

Сообщения в этом обсуждении

"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено Mr. Mistoffelees , 16-Ноя-11 21:18

Гм, кто же это держит ra на своем DNS сервере открытым для всего мира?

"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено Аноним , 16-Ноя-11 22:10

> Гм, кто же это держит ra на своем DNS сервере открытым для всего мира?
Не факт, что рекурсия для внешних сетей должна быть разрешена для эксплуатации этой уязвимости.
Помнится, не так давно в бинде была очередная дос-дыра, с падением от запроса на обновление зоны. Срабатывала, даже если это действие было запрещено.

"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Отправлено Vladimir Rusinov , 17-Ноя-11 13:14

Почти все провайдеры, google (8.8.8.8, 8.8.4.4), OpenDNS и еще куча народу.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 00:34

Традиция раз в полгода находить в бинде дыры, приводящие к краху.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 00:58

Debian, прилетели обновления.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено pavlinux , 17-Ноя-11 01:16

Я первый увидел!!! :)

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Сергей , 17-Ноя-11 02:44

BIND 9.6-ESV-R1 лёг
BIND 9.3.4 не лёг

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 17-Ноя-11 05:27

Чем проверяли? Или просто само так вышло?

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Сергей , 17-Ноя-11 11:41

Сказали лёг dns, как раз читал эту новость. grep'нул логи и нашёл завал сервера после этого сообщения. Кто-то проверил за меня :)

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено konst , 17-Ноя-11 04:05

>BIND 9.3.4 не лёг
BIND 9.3.6 даже не соизволил обновится

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 17-Ноя-11 05:32

> BIND 9.3.6 даже не соизволил обновится
Так не на что пока. ISC эти версии уже не поддерживает, дистрибутивы сегодня только пытаются понять подвержены ли эти старые версии проблеме и как их правильно пропатчить. Возможно, кто-то выпустит обновление с пробным патчем еще не разобравшись, а кто-то подождет еще.
Даже в новых версиях BIND еще сам ISC толком не знает суть проблемы. Предлагаемый для них патч - это workaround.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 17-Ноя-11 05:25

Вот моя попытка понять подвержены ли проблеме версии BIND 9.3.x (официально уже не поддерживаемые ISC) и сборки BIND без поддержки DNSSEC:
http://www.openwall.com/lists/oss-security/2011/11/17/2
Пока получается "может быть" и "скорее всего нет", соответственно. Точного ответа пока нет.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено solardiz , 18-Ноя-11 02:05

По анализу кода, получается что на 9.3.x проблема проявляется только при включенной опции dnssec-enable, тогда как на 9.4.x+ и без нее тоже:
http://www.openwall.com/lists/oss-security/2011/11/17/13
При этом то собран ли BIND с OpenSSL (нужен для полной поддержки DNSSEC) или нет роли не играет.
Тем временем, Red Hat выпустил обновление для 9.3.6 в RHEL5:
https://rhn.redhat.com/errata/RHSA-2011-1458.html
Они патчат как query.c, так и rbtdb.c (аналогично тому как это делается в патче от ISC), хотя maintainer пакета считает достаточными изменения в query.c (и мой вывод о том что требуется опция dnssec-enable на это полагается):
http://www.openwall.com/lists/oss-security/2011/11/17/11
Там же - обоснованное мнение, что 9.2.x и старее проблеме не подвержены.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено x , 17-Ноя-11 07:58

Что-то в разделе SECURITY ADVISORIES на сайте freebsd.org молчок как про bind, так и про недавно найденый баг в openpam.
Считают последние две баги несерьёзными что-ли? Или начали перенимать традиции Adobe и M$ неисправлять баги месяцами?

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Нано анон , 17-Ноя-11 10:45

Да уж.. может им некогда-идет работа по девятому релизу?

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 11:08

> Что-то в разделе SECURITY ADVISORIES на сайте freebsd.org молчок как про bind, так и про недавно найденый баг в openpam.
Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость). Про корректное исправление дыры в Bind пока мало даже в ISC знают, выпущенный апдейт лишь обходной путь.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 12:37

> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость).
А ничего, что это именно уязвимость, и именно в базовой системе?

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 12:45

> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость)
То есть, тот факт, что можно поиметь рута через дыру _в базовой системе_ - это ни разу не уязвимость?

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 18:09

> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость).
1. Дыра находится в OpenPAM, являющемся компонентом базовой системы.
2. Кто может гарантировать, что программа kcheckpass является единственным методом эксплуатации этой дыры?
> Про корректное исправление дыры в Bind пока мало даже в ISC
> знают, выпущенный апдейт лишь обходной путь.
Уязвимость активно эксплуатируется в настоящее время. Исправление от вендора есть.
Команда FreeBSD игнорирует сложившуюся ситуацию. Какими цветистыми словесами это не прикрывай, все равно погано выглядит.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено qwerty , 17-Ноя-11 18:30

Тем более абсурдно ситуация выглядит в том, что в портах бинд пропатчили, а бинд в базовой системе не тронули. Странное какая-то ситуация, первый раз такой пох..зм вижу от разработчиков BSD.
Может секьюрити офицер в запое? :)

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено J.K. , 17-Ноя-11 23:15

о месные оналитеги подтянулись... у них видимо запой как раз закончился..

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 15:30

Какую альтернативу использовать? DJBDNS?
Спасибо!

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено gyouja , 17-Ноя-11 16:50

> Какую альтернативу использовать? DJBDNS?
> Спасибо!
Для обработки рекурсивных запросов и если не нужны views - powerdns.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 17-Ноя-11 18:04

> powerdns.
pdns-recursor разве что. В качестве authoritative весьма слаб по фичам.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Клыкастый , 17-Ноя-11 19:12

PowerDNS тоже не торт :(

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Анонимз , 17-Ноя-11 17:52

Unbound

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено metallic , 17-Ноя-11 19:30

Какие требования? DNS-кластер нужен?

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Аноним , 18-Ноя-11 11:31

> Какие требования?
Требования у всех разные. Абсолютному большинству требований, к сожалению, удовлетворяет только BIND.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено ACCA , 19-Ноя-11 07:08

djbdns не обрабатывает рекурсивные запросы, для этого у DJ есть dnscache. Работает замечательно.

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Анонимз , 21-Ноя-11 11:53

tinydns + dnscache = djbdns

"Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."
Отправлено Lol , 21-Дек-11 06:20

Спасибо собрал Nsd + chroot