Проблемы безопасности DNS серверов. Обход chroot ограничений в Linux

29.04.2006 22:40

В Linux ядре 2.6.16.11 была исправлена ошибка связанная с возможностью некорректного использования злоумышленником обратного слеша в пути к файлу.

Как оказалось, данную проблему можно было использовать для обхода chroot ограничений в Linux, через использования пути вида "..\\" в примонтированных SMBFS/CIFS разделах (с практической точки зрения, маловероятно что кто-то использует часть SMB раздела как корень для chroot).

Кроме того, был разработан новый вид атаки на DNS серверы (концептуальная ошибка дизайна протокола), восприимчивыми к которой оказалось большое число различных продуктов. Что касается популярного пакета BIND, то проблему можно использовать для вызова отказа в обслуживании. Для предотвращения возможной DoS атаки достаточно запретить полный трансфер зоны для неавторизированных хостов.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/7410-security

Ключевые слова: security, linux, dns, samba, bind

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (1)

RSS

1, Dim (??), 08:11, 30/04/2006 [ответить] [п©б╘п╠Б∙≤п©Б∙═п▒Б┬≥Б┴╓п©б╘п▒Б┬≥Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б■╢Б∙⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б┬ Б∙░п▒Б┬≥Б▄║п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п▒Б■╢Б∙■п©Б√▓п▒Б√═Б∙╒п▒Б√═Б∙⌡ п©б╘п╠Б∙≤п©Б∙═п▒Б┬≥Б┴╓п©б╘п▒Б┬≥Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б■╢Б∙⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б┬ Б∙░п▒Б┬≥Б▄║п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п▒Б■╢Б∙■п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═п©б╘п╠Б∙≤п©Б∙═п▒Б┬≥Б┴╓п©б╘п▒Б┬≥Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б■╢Б∙⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б┬ Б∙░п▒Б┬≥Б▄║п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п▒Б■╢Б∙■п©Б√▓п▒Б┬ Б■■п▒Б┬≥Б√▓п©б╘п╠Б∙≤п©Б∙═п▒Б┬≥Б┴╓п©б╘п▒Б┬≥Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б■╢Б∙⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б┬ Б∙░п▒Б┬≥Б▄║п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п▒Б■╢Б∙■п©Б√▓п▒Б■╛б═п▒Б√└Б∙░п©б╘п╠Б∙≤п©Б∙═п▒Б┬≥Б┴╓п©б╘п▒Б┬≥Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б■╢Б∙⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б┬ Б∙░п▒Б┬≥Б▄║п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б■╛б═п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛б═п▒Б┬ Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б■╛б═п▒Б┬≥Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─п©б╘п╠Б∙≤п©Б∙═п▒Б┬≥Б┴╓п©б╘п▒Б┬≥Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б■╢Б∙⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б┬ Б∙░п▒Б┬≥Б▄║п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═я▐Б√░п▒Б√═б╟п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б√═я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б■╛б═п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛б═п▒Б┬ Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б∙░п©б╘п╠Б∙≤п©Б∙═п▒Б┬≥Б┴╓п©б╘п▒Б┬≥Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б■╢Б∙⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б┬ Б∙░п▒Б┬≥Б▄║п©Б√▓п▒Б√═Б∙╒п▒Б┬≥Б√═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п▒Б■╢Б∙■п©Б√▓п▒Б┬ Б■■п▒Б┬≥Б√▓я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б■╛б═п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛б═п▒Б┬ Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б■╛б═п▒Б┬≥Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б■╛б═п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛б═п▒Б┬ Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛Б┴╔п▒Б┬ Б√▓п©б╘п▒Б┬ Б√⌠п©Б√▓п▒Б√═Б∙⌡п╠Б∙░п©Б√▓п▒Б■╛б═п▒Б┬ Б▄═]	+/–
> ...(концептуальная ошибка дизайна протокола)... Ничего подобного. В оригинальном сообщении говорится, что был создан test suite, который был использован на различных DNS-серверах и обнаружил ранее неизвестные ошибки в реализацииях этих конкретных DNS-серверов (утечки памяти, блокировки, DoS и т.п.).

Добавить комментарий

Имя:

E-Mail:

Текст: