The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опасная DoS-уязвимость в DNS-сервере BIND 9"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасная DoS-уязвимость в DNS-сервере BIND 9"  +/
Сообщение от opennews (??) on 16-Ноя-11, 21:15 
Консорциум ISC уведомил (http://www.isc.org/software/bind/advisories/cve-2011-tbd) пользователей об обнаружении в DNS-сервере BIND 9 уязвимости, позволяющей удалённо вывести DNS-сервер из строя, отправив специально сформированный рекурсивный запрос. Подробности о методе совершения атаки не сообщаются, известно только то, что данная уязвимость уже активно эксплуатируется злоумышленниками в сети.

Исправление пока недоступно, но в ISC обещает опубликовать патч в ближайшие часы, после завершения его тестирования. В качестве обходного пути защиты можно ограничить выполнение рекурсивных запросов только для доверительных хостов. Уязвимости подвержены все версии BIND 9.x. Определить факт атаки можно по краху named с выводом в лог записи "INSIST(! dns_rdataset_isassociated(sigrdataset))".

URL: http://www.isc.org/software/bind/advisories/cve-2011-tbd
Новость: http://www.opennet.me/opennews/art.shtml?num=32322

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Опасная DoS-уязвимость в DNS-сервере BIND 9"  +/
Сообщение от Mr. Mistoffelees on 16-Ноя-11, 21:18 
Гм, кто же это держит ra на своем DNS сервере открытым для всего мира?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Опасная DoS-уязвимость в DNS-сервере BIND 9"  +2 +/
Сообщение от Аноним (??) on 16-Ноя-11, 22:10 
> Гм, кто же это держит ra на своем DNS сервере открытым для всего мира?

Не факт, что рекурсия для внешних сетей должна быть разрешена для эксплуатации этой уязвимости.
Помнится, не так давно в бинде была очередная дос-дыра, с падением от запроса на обновление зоны. Срабатывала, даже если это действие было запрещено.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Опасная DoS-уязвимость в DNS-сервере BIND 9"  +/
Сообщение от Vladimir Rusinov email on 17-Ноя-11, 13:14 
Почти все провайдеры, google (8.8.8.8, 8.8.4.4), OpenDNS и еще куча народу.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +3 +/
Сообщение от Аноним (??) on 17-Ноя-11, 00:34 
Традиция раз в полгода находить в бинде дыры, приводящие к краху.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Аноним (??) on 17-Ноя-11, 00:58 
Debian, прилетели обновления.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от pavlinux (ok) on 17-Ноя-11, 01:16 
Я первый увидел!!! :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Сергей (??) on 17-Ноя-11, 02:44 
BIND 9.6-ESV-R1 лёг
BIND 9.3.4 не лёг
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +1 +/
Сообщение от solardiz (ok) on 17-Ноя-11, 05:27 
Чем проверяли? Или просто само так вышло?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Сергей (??) on 17-Ноя-11, 11:41 
Сказали лёг dns, как раз читал эту новость. grep'нул логи и нашёл завал сервера после этого сообщения. Кто-то проверил за меня :)
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

13. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от konst email(??) on 17-Ноя-11, 04:05 
>BIND 9.3.4 не лёг

BIND 9.3.6 даже не соизволил обновится

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +4 +/
Сообщение от solardiz (ok) on 17-Ноя-11, 05:32 
> BIND 9.3.6 даже не соизволил обновится

Так не на что пока. ISC эти версии уже не поддерживает, дистрибутивы сегодня только пытаются понять подвержены ли эти старые версии проблеме и как их правильно пропатчить. Возможно, кто-то выпустит обновление с пробным патчем еще не разобравшись, а кто-то подождет еще.

Даже в новых версиях BIND еще сам ISC толком не знает суть проблемы. Предлагаемый для них патч - это workaround.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +5 +/
Сообщение от solardiz (ok) on 17-Ноя-11, 05:25 
Вот моя попытка понять подвержены ли проблеме версии BIND 9.3.x (официально уже не поддерживаемые ISC) и сборки BIND без поддержки DNSSEC:

http://www.openwall.com/lists/oss-security/2011/11/17/2

Пока получается "может быть" и "скорее всего нет", соответственно. Точного ответа пока нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +2 +/
Сообщение от solardiz (ok) on 18-Ноя-11, 02:05 
По анализу кода, получается что на 9.3.x проблема проявляется только при включенной опции dnssec-enable, тогда как на 9.4.x+ и без нее тоже:

http://www.openwall.com/lists/oss-security/2011/11/17/13

При этом то собран ли BIND с OpenSSL (нужен для полной поддержки DNSSEC) или нет роли не играет.

Тем временем, Red Hat выпустил обновление для 9.3.6 в RHEL5:

https://rhn.redhat.com/errata/RHSA-2011-1458.html

Они патчат как query.c, так и rbtdb.c (аналогично тому как это делается в патче от ISC), хотя maintainer пакета считает достаточными изменения в query.c (и мой вывод о том что требуется опция dnssec-enable на это полагается):

http://www.openwall.com/lists/oss-security/2011/11/17/11

Там же - обоснованное мнение, что 9.2.x и старее проблеме не подвержены.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +3 +/
Сообщение от x on 17-Ноя-11, 07:58 
Что-то в разделе SECURITY ADVISORIES на сайте freebsd.org молчок как про bind, так и про недавно найденый баг в openpam.

Считают последние две баги несерьёзными что-ли? Или начали перенимать традиции Adobe и M$ неисправлять баги месяцами?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Нано анон on 17-Ноя-11, 10:45 
Да уж.. может им некогда-идет работа по девятому релизу?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  –5 +/
Сообщение от Аноним (??) on 17-Ноя-11, 11:08 
> Что-то в разделе SECURITY ADVISORIES на сайте freebsd.org молчок как про bind, так и про недавно найденый баг в openpam.

Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость). Про корректное исправление дыры в Bind пока мало даже в ISC знают, выпущенный апдейт лишь обходной путь.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +3 +/
Сообщение от Аноним (??) on 17-Ноя-11, 12:37 
> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость).

А ничего, что это именно уязвимость, и именно в базовой системе?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +3 +/
Сообщение от Аноним (??) on 17-Ноя-11, 12:45 
> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость)

То есть, тот факт, что можно поиметь рута через дыру _в базовой системе_ - это ни разу не уязвимость?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Аноним (??) on 17-Ноя-11, 18:09 
> Баг в openpam проявляется только при установке из портов KDE и не затрагивает базовую систему (т.е. воспринимается как баг, а не как уязвимость).

1. Дыра находится в OpenPAM, являющемся компонентом базовой системы.
2. Кто может гарантировать, что программа kcheckpass является единственным методом эксплуатации этой дыры?

> Про корректное исправление дыры в Bind пока мало даже в ISC
> знают, выпущенный апдейт лишь обходной путь.

Уязвимость активно эксплуатируется в настоящее время. Исправление от вендора есть.
Команда FreeBSD игнорирует сложившуюся ситуацию. Какими цветистыми словесами это не прикрывай, все равно погано выглядит.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

32. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +2 +/
Сообщение от qwerty (??) on 17-Ноя-11, 18:30 
Тем более абсурдно ситуация выглядит в том, что в портах бинд пропатчили, а бинд в базовой системе не тронули. Странное какая-то ситуация, первый раз такой пох..зм вижу от разработчиков BSD.

Может секьюрити офицер в запое? :)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  –5 +/
Сообщение от J.K. on 17-Ноя-11, 23:15 
о месные оналитеги подтянулись... у них видимо запой как раз закончился..
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

27. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Аноним (??) on 17-Ноя-11, 15:30 
Какую альтернативу использовать? DJBDNS?
Спасибо!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от gyouja (ok) on 17-Ноя-11, 16:50 
> Какую альтернативу использовать? DJBDNS?
> Спасибо!

Для обработки рекурсивных запросов и если не нужны views - powerdns.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Аноним (??) on 17-Ноя-11, 18:04 
> powerdns.

pdns-recursor разве что. В качестве authoritative весьма слаб по фичам.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

33. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +2 +/
Сообщение от Клыкастый (ok) on 17-Ноя-11, 19:12 
PowerDNS тоже не торт :(
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

29. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Анонимз on 17-Ноя-11, 17:52 
Unbound
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от metallic (ok) on 17-Ноя-11, 19:30 
Какие требования? DNS-кластер нужен?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Аноним (??) on 18-Ноя-11, 11:31 
> Какие требования?

Требования у всех разные. Абсолютному большинству требований, к сожалению, удовлетворяет только BIND.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от ACCA (ok) on 19-Ноя-11, 07:08 
djbdns не обрабатывает рекурсивные запросы, для этого у DJ есть dnscache. Работает замечательно.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

39. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Анонимз on 21-Ноя-11, 11:53 
tinydns + dnscache = djbdns
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Опасная DoS-уязвимость в DNS-сервере BIND 9 (доступно обновл..."  +/
Сообщение от Lol (??) on 21-Дек-11, 06:20 
Спасибо собрал Nsd + chroot
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру