forum.opennet.ru - "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." (17)

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
Сообщение от opennews on 30-Июн-17, 10:24
Консорциум ISC представил новые выпуски DNS-сервера BIND 9.11.1-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...), 9.10.5-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...) и 9.9.10-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...), в которых устранены четыре уязвимости. Уязвимости CVE-2017-3142 (https://kb.isc.org/article/AA-01504) и CVE-2017-3143 (https://kb.isc.org/article/AA-01503) связанны с возможностью обхода механизмов аутентификации TSIG и позволяют удалённому атакующему выполнить операции динамического обновления или AXFR-передачи содержимого DNS-зоны без наличия ключа TSIG. Уязвимость СVE-2017-3140 (http://www.mail-archive.com/bind-announce@lists.isc.org...) проявляется в некоторых конфигурациях RPZ (Response Policy Zones) и позволяет вызвать отказ в обслуживании через инициирование зацикливания при обработке ответка с нулевым TTL. Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org...) затрагивает установщик для Windows и позволяет локальному пользователю через манипуляцию с неэкранированными путями повысить свои привилегии. URL: http://www.mail-archive.com/bind-announce@lists.isc.org... Новость: http://www.opennet.me/opennews/art.shtml?num=46786
Ответить \| Правка \| Cообщить модератору

Оглавление

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Линукс нужен не только Ли, 10:24 , 30-Июн-17, (1)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., maximnik0, 10:50 , 30-Июн-17, (2) –8

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., pkdr, 11:48 , 30-Июн-17, (3) +2

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Аноним, 12:34 , 30-Июн-17, (8)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., ryoken, 12:42 , 30-Июн-17, (9)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., notte, 11:57 , 30-Июн-17, (4) +1
Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Ergil, 15:51 , 30-Июн-17, (13)
Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Аноним, 20:49 , 01-Июл-17, (19)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., J.L., 12:33 , 30-Июн-17, (7) +1

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Аноним, 15:21 , 30-Июн-17, (12) –4

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., _, 20:37 , 30-Июн-17, (15) +1

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Аноним, 20:47 , 30-Июн-17, (17)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., ryoken, 12:44 , 30-Июн-17, (10)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., J.L., 13:53 , 30-Июн-17, (11)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Аноним, 17:21 , 30-Июн-17, (14)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., _, 20:38 , 30-Июн-17, (16)

Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..., Аноним, 13:15 , 01-Июл-17, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от Линукс нужен не только Ли on 30-Июн-17, 10:24

>при обработке ответка с нулевым TTL
Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." –8 +/–

Сообщение от maximnik0 on 30-Июн-17, 10:50

>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.
По крайне мере с нулевым TTL письма и  пакеты уходят на расстояние около 80-120 миль :-)
Источник - глупые ошибки и байки администратора (библиотека Машкова) .Там описывался случай когда сервер с Солярисом находящим на гарантийном обслуживание обновили не глядя специалисты Сан, а Sendmail местный админ поставил более свежий .И новые конфиги старая версия программы не поняла и установили многие параметры по умолчанию в 0 .И админ не мог не как понять почему нечего дальше на это расстояние не уходит....

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +2 +/–

Сообщение от pkdr (ok) on 30-Июн-17, 11:48

А причём тут вообще sendmail?
Он работает на два уровня выше, чем IP, поэтому версия сендмейл в принципе никак не влияет на TTL в IP пакетах, ибо это совершенно не его забота, что содержится внутри IP пакета и он его не формирует.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Часть нити удалена модератором

8. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от Аноним (??) on 30-Июн-17, 12:34

Аноним перепутал, там речь шла не о ttl.

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от ryoken (ok) on 30-Июн-17, 12:42

>>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.
> По крайне мере с нулевым TTL письма и  пакеты уходят на
> расстояние около 80-120 миль :-)
А не на 550? В памяти это число почему-то после того рассказа висит :).

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +1 +/–

Сообщение от notte on 30-Июн-17, 11:57

где ты ваще увидел упоминание ip-пакетов в новости? там какбэ про bind, так может речь идёт о ttl для днс-зоны, не?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от Ergil (ok) on 30-Июн-17, 15:51

Речь про DNS'ный TTL. Время жизни записи.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от Аноним (??) on 01-Июл-17, 20:49

Маршрутизатор заглядывает на прикладной уровень и смотрит DNS'ный TTL? А почта, идущая на foo@localhost должна быть отброшена маршрутизатором?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +1 +/–

Сообщение от J.L. on 30-Июн-17, 12:33

//offtop
тока вчера Лёню Поттера ругали за дырки и требовали ставить бинд вместо его с-д-резолвера

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." –4 +/–

Сообщение от Аноним (??) on 30-Июн-17, 15:21

Сейчас тебе костномозглые сверхразумы расскажут, что в systemd баг потому что там дураки, а тут два бага потому что система сложная :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +1 +/–

Сообщение от _ (??) on 30-Июн-17, 20:37

А можно это сделаю я?
Сравни новость с:
Критическая уязвимость в systemd: удалённое выполнение кода
...
Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.
и подумай. На bind'ах тоже было несладко 10-15-20 лет назад :) Но более-менее зашкурили и закрасили :-))) А с лёниным изделием следующие года будут явно нескучными ....

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от Аноним (??) on 30-Июн-17, 20:47

Уязвимость, которая по умолчанию выключена (в Debian, как минимум) и требует использования DNS-сервера злоумышленника vs обход TSIG для AXFR зон. Хорошо, что у меня все Bind зафаерволены по самое небалуй и принимают трансферы зон только с одного доверенного IP из подсети, которая за пределами AS даже не видна. А то я бы уже нервничал.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

10. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от ryoken (ok) on 30-Июн-17, 12:44

> Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
> пользователю через манипуляцию
> с неэкранированными путями повысить свои привилегии.
BIND для Win? А, хм, нафейхоа?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от J.L. on 30-Июн-17, 13:53

>> Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
>> пользователю через манипуляцию
>> с неэкранированными путями повысить свои привилегии.
> BIND для Win? А, хм, нафейхоа?
а вдруг роскомнадзор убунту забанит?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от Аноним (??) on 30-Июн-17, 17:21

>  Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org...)
> затрагивает установщик для  Windows и позволяет локальному пользователю через манипуляцию
> с неэкранированными путями повысить свои привилегии.
Т.е. на венде возможность создавать файлы вне хомяка и тмп для любого пользователя -- все еще норма? Сикурити аж изо всех щелей, да!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от _ (??) on 30-Июн-17, 20:38

Чёйта?! Точно так же как и в линуксе к примеру. Как настроишь - так и будет....

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..." +/–

Сообщение от Аноним (??) on 01-Июл-17, 13:15

> Чёйта?! Точно так же как и в линуксе к примеру.
> Как настроишь - так и будет....
Понятно, настройки по умолчанию все еще не изменились.
И правильно - легаси и обратная совместимость с win 9.x рулят, да.
Это же не кнопка пуск или плиточки, в виде новаторства впарить не очень выйдет, а вот проблем с поддержкой и всевозможным старьем не оберешься.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
Сообщение от Линукс нужен не только Ли on 30-Июн-17, 10:24
>при обработке ответка с нулевым TTL Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	–8 +/–
	Сообщение от maximnik0 on 30-Июн-17, 10:50
	>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором. По крайне мере с нулевым TTL письма и пакеты уходят на расстояние около 80-120 миль :-) Источник - глупые ошибки и байки администратора (библиотека Машкова) .Там описывался случай когда сервер с Солярисом находящим на гарантийном обслуживание обновили не глядя специалисты Сан, а Sendmail местный админ поставил более свежий .И новые конфиги старая версия программы не поняла и установили многие параметры по умолчанию в 0 .И админ не мог не как понять почему нечего дальше на это расстояние не уходит....
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+2 +/–
	Сообщение от pkdr (ok) on 30-Июн-17, 11:48
	А причём тут вообще sendmail? Он работает на два уровня выше, чем IP, поэтому версия сендмейл в принципе никак не влияет на TTL в IP пакетах, ибо это совершенно не его забота, что содержится внутри IP пакета и он его не формирует.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	8. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от Аноним (??) on 30-Июн-17, 12:34
	Аноним перепутал, там речь шла не о ttl.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от ryoken (ok) on 30-Июн-17, 12:42
	>>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором. > По крайне мере с нулевым TTL письма и пакеты уходят на > расстояние около 80-120 миль :-) А не на 550? В памяти это число почему-то после того рассказа висит :).
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+1 +/–
	Сообщение от notte on 30-Июн-17, 11:57
	где ты ваще увидел упоминание ip-пакетов в новости? там какбэ про bind, так может речь идёт о ttl для днс-зоны, не?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	13. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от Ergil (ok) on 30-Июн-17, 15:51
	Речь про DNS'ный TTL. Время жизни записи.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	19. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от Аноним (??) on 01-Июл-17, 20:49
	Маршрутизатор заглядывает на прикладной уровень и смотрит DNS'ный TTL? А почта, идущая на foo@localhost должна быть отброшена маршрутизатором?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

7. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+1 +/–
Сообщение от J.L. on 30-Июн-17, 12:33
//offtop тока вчера Лёню Поттера ругали за дырки и требовали ставить бинд вместо его с-д-резолвера
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	12. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	–4 +/–
	Сообщение от Аноним (??) on 30-Июн-17, 15:21
	Сейчас тебе костномозглые сверхразумы расскажут, что в systemd баг потому что там дураки, а тут два бага потому что система сложная :)
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	15. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+1 +/–
	Сообщение от _ (??) on 30-Июн-17, 20:37
	А можно это сделаю я? Сравни новость с: Критическая уязвимость в systemd: удалённое выполнение кода ... Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233. и подумай. На bind'ах тоже было несладко 10-15-20 лет назад :) Но более-менее зашкурили и закрасили :-))) А с лёниным изделием следующие года будут явно нескучными ....
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	17. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от Аноним (??) on 30-Июн-17, 20:47
	Уязвимость, которая по умолчанию выключена (в Debian, как минимум) и требует использования DNS-сервера злоумышленника vs обход TSIG для AXFR зон. Хорошо, что у меня все Bind зафаерволены по самое небалуй и принимают трансферы зон только с одного доверенного IP из подсети, которая за пределами AS даже не видна. А то я бы уже нервничал.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору

10. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
Сообщение от ryoken (ok) on 30-Июн-17, 12:44
> Уязвимость CVE-2017-3141 затрагивает установщик для Windows и позволяет локальному > пользователю через манипуляцию > с неэкранированными путями повысить свои привилегии. BIND для Win? А, хм, нафейхоа?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	11. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от J.L. on 30-Июн-17, 13:53
	>> Уязвимость CVE-2017-3141 затрагивает установщик для Windows и позволяет локальному >> пользователю через манипуляцию >> с неэкранированными путями повысить свои привилегии. > BIND для Win? А, хм, нафейхоа? а вдруг роскомнадзор убунту забанит?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

14. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
Сообщение от Аноним (??) on 30-Июн-17, 17:21
> Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org...) > затрагивает установщик для Windows и позволяет локальному пользователю через манипуляцию > с неэкранированными путями повысить свои привилегии. Т.е. на венде возможность создавать файлы вне хомяка и тмп для любого пользователя -- все еще норма? Сикурити аж изо всех щелей, да!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от _ (??) on 30-Июн-17, 20:38
	Чёйта?! Точно так же как и в линуксе к примеру. Как настроишь - так и будет....
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	18. "Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."	+/–
	Сообщение от Аноним (??) on 01-Июл-17, 13:15
	> Чёйта?! Точно так же как и в линуксе к примеру. > Как настроишь - так и будет.... Понятно, настройки по умолчанию все еще не изменились. И правильно - легаси и обратная совместимость с win 9.x рулят, да. Это же не кнопка пуск или плиточки, в виде новаторства впарить не очень выйдет, а вот проблем с поддержкой и всевозможным старьем не оберешься.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору