URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 84876
[ Назад ]

Исходное сообщение
"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено opennews , 05-Июн-12 10:33

Представлены корректирующие выпуски DNS-сервера BIND (http://www.isc.org/software/bind) 9.6-ESV-R7-P1, 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 с устранением удалённо эксплуатируемой уязвимости (http://www.isc.org/software/bind/advisories/cve-2012-1667), которой присвоен статус критической проблемы безопасности. Проблема выявлена в результате внутреннего тестирования экспериментальных типов DNS-записей и проявляется во всех версиях BIND 9.x.

При добавлении полей rdata нулевой длины обработка таких полей приводит к непредвиденным последствиям - наблюдается крах серверов, выполняющих рекурсивные запросы, также не исключена ситуация утечки областей памяти сервера при эксплуатации уязвимости. Для вторичных DNS-серверов также наблюдается крах при перезапуске после передачи зоны, содержащей подобные пустые записи. На первичных DNS-серверах проблема проявляется через повреждение данных зон, созданных в режиме "auto-dnssec maintain". Не исключено и наличие других проявлении рассматриваемой проблемы. Наибольшую опасность представляют возможные атаки, направленные на вызов отказа в обслуживании серверов, обрабатывающих рекурсивные запросы, так как на авторитативных серверах проблема может проявиться только при модификации должным образом содержимого зон.
URL: http://www.isc.org/software/bind/advisories/cve-2012-1667
Новость: http://www.opennet.me/opennews/art.shtml?num=34008

Содержание

В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 10:33 , 05-Июн-12
- В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,flameflower, 11:08 , 05-Июн-12
- В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,dhreherr, 11:15 , 05-Июн-12
  - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Анонимъ, 11:44 , 05-Июн-12
    - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,пупкин, 13:15 , 05-Июн-12
  - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Sw00p aka Jerom, 23:13 , 05-Июн-12
- В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 13:56 , 05-Июн-12
  - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 15:02 , 05-Июн-12
    - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 15:18 , 05-Июн-12
      - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 20:12 , 05-Июн-12
В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 11:25 , 05-Июн-12
- В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 13:57 , 05-Июн-12
  - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Ы, 17:30 , 05-Июн-12
    - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 18:37 , 05-Июн-12
В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Тот самый аноним, 13:39 , 05-Июн-12
- В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,NOC, 13:47 , 05-Июн-12
  - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Тот самый аноним, 14:00 , 05-Июн-12
    - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 14:04 , 05-Июн-12
      - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Тот самый аноним, 14:08 , 05-Июн-12
    - В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Оаним, 21:14 , 05-Июн-12
В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у...,Аноним, 10:19 , 06-Июн-12

Сообщения в этом обсуждении

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 10:33

cd /usr/ports/dns/unbound
make install clean

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено flameflower , 05-Июн-12 11:08

Ну зачем же так радикально то?

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено dhreherr , 05-Июн-12 11:15

Если бы было всё так просто. Unbound он кеширующий, свои зоны он не держит.

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Анонимъ , 05-Июн-12 11:44

Есть еще NSD

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено пупкин , 05-Июн-12 13:15

а еще есть KNOT

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Sw00p aka Jerom , 05-Июн-12 23:13

PowerDNS и его рекурсор - отличная альтернатива

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 13:56

> cd /usr/ports/dns/unbound
> make install clean
А почему именно unbound, а не openntpd или там vsftpd? Бинд они заменяют примерно одинаково (т.е. никак).

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 15:02

> А почему именно unbound, а не openntpd или там vsftpd? Бинд они
> заменяют примерно одинаково (т.е. никак).
unbound специально предназначен для защиты такого дырявого поделия как BIND - от внешки)
да и не всем авторитарные dns нужны

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 15:18

> unbound специально предназначен для защиты такого дырявого поделия как BIND - от внешки)
А слабо было разработать нормальную альтернативу бинду, а не тупой фронтенд к нему?
> да и не всем авторитарные dns нужны
Рекурсивные резолверы тоже не всем нужны, и что?

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 20:12

http://cr.yp.to/djbdns/run-server-bind.html - нормально?)
> Рекурсивные резолверы тоже не всем нужны, и что?
то что не стрелять бы по воробьям зенитками =)

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 11:25

сколько можно

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 13:57

> сколько можно
Это ISC - эталон кривого и дырявого кода. Не нравится - есть другие решения.

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Ы , 05-Июн-12 17:30

Есть. Да только оне как бы это сказать то ... тоже не кекс :)

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 18:37

Что поделать, в жизни вообще нет места совершенным творениям.

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Тот самый аноним , 05-Июн-12 13:39

Зачем это, когда есть 8.8.8.8

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено NOC , 05-Июн-12 13:47

Гугол уже зоны кастомные держит?

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Тот самый аноним , 05-Июн-12 14:00

Владельцу холокоста хватит и файла c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 05-Июн-12 14:04

> Владельцу холокоста хватит и файла c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же
Вы не поверите, но админы бывают не только у локалхостов.

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Тот самый аноним , 05-Июн-12 14:08

>> Владельцу холокоста хватит и файла c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же
> Вы не поверите, но админы бывают не только у локалхостов.
Ладно, ладно. Ушел качать.

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Оаним , 05-Июн-12 21:14

> Владельцу холокоста хватит и файла c:\windows\SYSTEM32\DRIVERS\ETC\HOSTS же
Там и wins подойдет )

"В DNS-сервере BIND 9.7.6-P1, 9.8.3-P1 и 9.9.1-P1 устранена у..."
Отправлено Аноним , 06-Июн-12 10:19

А почему в 8-STABLE и 9-STABLE патчи добавили, а в RELENG_8_X и RELENG_9_X не стали?