Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением уязвимостей

30.06.2017 10:01

Консорциум ISC представил новые выпуски DNS-сервера BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2, в которых устранены четыре уязвимости. Уязвимости CVE-2017-3142 и CVE-2017-3143 связанны с возможностью обхода механизмов аутентификации TSIG и позволяют удалённому атакующему выполнить операции динамического обновления или AXFR-передачи содержимого DNS-зоны без наличия ключа TSIG.

Уязвимость СVE-2017-3140 проявляется в некоторых конфигурациях RPZ (Response Policy Zones) и позволяет вызвать отказ в обслуживании через инициирование зацикливания при обработке ответка с нулевым TTL. Уязвимость CVE-2017-3141 затрагивает установщик для Windows и позволяет локальному пользователю через манипуляцию с неэкранированными путями повысить свои привилегии.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46786-bind

Ключевые слова: bind, dns

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Линукс нужен не только Ли (?), 10:24, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>при обработке ответка с нулевым TTL Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

2.2, maximnik0 (?), 10:50, 30/06/2017 [^] [^^] [^^^] [ответить]	–8 +/–
>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором. По крайне мере с нулевым TTL письма и пакеты уходят на расстояние около 80-120 миль :-) Источник - глупые ошибки и байки администратора (библиотека Машкова) .Там описывался случай когда сервер с Солярисом находящим на гарантийном обслуживание обновили не глядя специалисты Сан, а Sendmail местный админ поставил более свежий .И новые конфиги старая версия программы не поняла и установили многие параметры по умолчанию в 0 .И админ не мог не как понять почему нечего дальше на это расстояние не уходит....

3.3, pkdr (ok), 11:48, 30/06/2017 [^] [^^] [^^^] [ответить]	+2 +/–
А причём тут вообще sendmail? Он работает на два уровня выше, чем IP, поэтому версия сендмейл в принципе никак не влияет на TTL в IP пакетах, ибо это совершенно не его забота, что содержится внутри IP пакета и он его не формирует.

Часть нити удалена модератором

6.8, Аноним (-), 12:34, 30/06/2017 [ответить]	+/–
Аноним перепутал, там речь шла не о ttl.

3.9, ryoken (ok), 12:42, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
>>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором. > По крайне мере с нулевым TTL письма и пакеты уходят на > расстояние около 80-120 миль :-) А не на 550? В памяти это число почему-то после того рассказа висит :).

2.4, notte (?), 11:57, 30/06/2017 [^] [^^] [^^^] [ответить]	+1 +/–
где ты ваще увидел упоминание ip-пакетов в новости? там какбэ про bind, так может речь идёт о ttl для днс-зоны, не?

2.13, Ergil (ok), 15:51, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
Речь про DNS'ный TTL. Время жизни записи.

2.19, Аноним (-), 20:49, 01/07/2017 [^] [^^] [^^^] [ответить]	+/–
Маршрутизатор заглядывает на прикладной уровень и смотрит DNS'ный TTL? А почта, идущая на foo@localhost должна быть отброшена маршрутизатором?

1.7, J.L. (?), 12:33, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
//offtop тока вчера Лёню Поттера ругали за дырки и требовали ставить бинд вместо его с-д-резолвера

2.12, Аноним (-), 15:21, 30/06/2017 [^] [^^] [^^^] [ответить]	–4 +/–
Сейчас тебе костномозглые сверхразумы расскажут, что в systemd баг потому что там дураки, а тут два бага потому что система сложная :)

3.15, _ (??), 20:37, 30/06/2017 [^] [^^] [^^^] [ответить]

+1 +/–

А можно это сделаю я?

Сравни новость с:
Критическая уязвимость в systemd: удалённое выполнение кода
...
Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

и подумай. На bind'ах тоже было несладко 10-15-20 лет назад :) Но более-менее зашкурили и закрасили :-))) А с лёниным изделием следующие года будут явно нескучными ....

4.17, Аноним (-), 20:47, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
Уязвимость, которая по умолчанию выключена (в Debian, как минимум) и требует использования DNS-сервера злоумышленника vs обход TSIG для AXFR зон. Хорошо, что у меня все Bind зафаерволены по самое небалуй и принимают трансферы зон только с одного доверенного IP из подсети, которая за пределами AS даже не видна. А то я бы уже нервничал.

1.10, ryoken (ok), 12:44, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Уязвимость CVE-2017-3141 затрагивает установщик для Windows и позволяет локальному > пользователю через манипуляцию > с неэкранированными путями повысить свои привилегии. BIND для Win? А, хм, нафейхоа?

2.11, J.L. (?), 13:53, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
>> Уязвимость CVE-2017-3141 затрагивает установщик для Windows и позволяет локальному >> пользователю через манипуляцию >> с неэкранированными путями повысить свои привилегии. > BIND для Win? А, хм, нафейхоа? а вдруг роскомнадзор убунту забанит?

1.14, Аноним (-), 17:21, 30/06/2017 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org/msg00460.html) > затрагивает установщик для Windows и позволяет локальному пользователю через манипуляцию > с неэкранированными путями повысить свои привилегии. Т.е. на венде возможность создавать файлы вне хомяка и тмп для любого пользователя -- все еще норма? Сикурити аж изо всех щелей, да!

2.16, _ (??), 20:38, 30/06/2017 [^] [^^] [^^^] [ответить]	+/–
Чёйта?! Точно так же как и в линуксе к примеру. Как настроишь - так и будет....

3.18, Аноним (-), 13:15, 01/07/2017 [^] [^^] [^^^] [ответить]

+/–

> Чёйта?! Точно так же как и в линуксе к примеру.
> Как настроишь - так и будет....

Понятно, настройки по умолчанию все еще не изменились.
И правильно - легаси и обратная совместимость с win 9.x рулят, да.
Это же не кнопка пуск или плиточки, в виде новаторства впарить не очень выйдет, а вот проблем с поддержкой и всевозможным старьем не оберешься.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: