URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 84876
[ Назад ]

Исходное сообщение
"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."

Отправлено opennews , 05-Июн-12 10:33 
Представлены корректирующие выпуски DNS-сервера BIND (http://www.isc.org/software/bind) 9.6-ESV-R7-P1, 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 с устранением удалённо эксплуатируемой уязвимости (http://www.isc.org/software/bind/advisories/cve-2012-1667), которой присвоен статус критической проблемы безопасности. Проблема выявлена в результате внутреннего тестирования экспериментальных типов DNS-записей и проявляется во всех версиях BIND 9.x.


При добавлении полей rdata нулевой длины обработка таких полей приводит к непредвиденным последствиям - наблюдается крах серверов, выполняющих рекурсивные запросы, также не исключена ситуация утечки областей памяти сервера при эксплуатации уязвимости. Для вторичных DNS-серверов также наблюдается крах при перезапуске после передачи зоны, содержащей подобные пустые записи. На первичных DNS-серверах проблема проявляется через повреждение данных зон, созданных в режиме  "auto-dnssec maintain". Не исключено и наличие других проявлении рассматриваемой проблемы. Наибольшую опасность представляют возможные атаки, направленные на вызов отказа в обслуживании серверов, обрабатывающих рекурсивные запросы, так как на авторитативных серверах проблема может проявиться только при модификации должным образом содержимого зон.

URL: http://www.isc.org/software/bind/advisories/cve-2012-1667
Новость: http://www.opennet.me/opennews/art.shtml?num=34008


Содержание

Сообщения в этом обсуждении
"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 10:33 
cd /usr/ports/dns/unbound
make install clean

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено flameflower , 05-Июн-12 11:08 
Ну зачем же так радикально то?

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено dhreherr , 05-Июн-12 11:15 
Если бы было всё так просто. Unbound он кеширующий, свои зоны он не держит.

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Анонимъ , 05-Июн-12 11:44 
Есть еще NSD

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено пупкин , 05-Июн-12 13:15 
а еще есть KNOT

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Sw00p aka Jerom , 05-Июн-12 23:13 
PowerDNS и его рекурсор - отличная альтернатива

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 13:56 
> cd /usr/ports/dns/unbound
> make install clean

А почему именно unbound, а не openntpd или там vsftpd? Бинд они заменяют примерно одинаково (т.е. никак).


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 15:02 
> А почему именно unbound, а не openntpd или там vsftpd? Бинд они
> заменяют примерно одинаково (т.е. никак).

unbound специально предназначен для защиты такого дырявого поделия как BIND - от внешки)

да и не всем авторитарные dns нужны


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 15:18 
> unbound специально предназначен для защиты такого дырявого поделия как BIND - от внешки)

А слабо было разработать нормальную альтернативу бинду, а не тупой фронтенд к нему?

> да и не всем авторитарные dns нужны

Рекурсивные резолверы тоже не всем нужны, и что?


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 20:12 
http://cr.yp.to/djbdns/run-server-bind.html - нормально?)

> Рекурсивные резолверы тоже не всем нужны, и что?

то что не стрелять бы по воробьям зенитками =)


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 11:25 
сколько можно

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 13:57 
> сколько можно

Это ISC - эталон кривого и дырявого кода. Не нравится - есть другие решения.


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Ы , 05-Июн-12 17:30 
Есть. Да только оне как бы это сказать то ... тоже не кекс :)

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 18:37 
Что поделать, в жизни вообще нет места совершенным творениям.

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Тот самый аноним , 05-Июн-12 13:39 
Зачем это, когда есть 8.8.8.8

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено NOC , 05-Июн-12 13:47 
Гугол уже зоны кастомные держит?

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Тот самый аноним , 05-Июн-12 14:00 
Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 14:04 
> Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же

Вы не поверите, но админы бывают не только у локалхостов.


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Тот самый аноним , 05-Июн-12 14:08 
>> Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же
> Вы не поверите, но админы бывают не только у локалхостов.

Ладно, ладно. Ушел качать.


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Оаним , 05-Июн-12 21:14 
> Владельцу холокоста хватит и файла  c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же

Там и wins подойдет )


"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 06-Июн-12 10:19 
А почему в 8-STABLE и 9-STABLE патчи добавили, а в RELENG_8_X и RELENG_9_X не стали?