URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 111621
[ Назад ]
Исходное сообщение
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено opennews , 30-Июн-17 10:24 
Консорциум ISC представил новые выпуски DNS-сервера BIND 9.11.1-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...), 9.10.5-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...) и 9.9.10-P2 (http://www.mail-archive.com/bind-announce@lists.isc.org...), в которых устранены четыре уязвимости. Уязвимости CVE-2017-3142 (https://kb.isc.org/article/AA-01504) и CVE-2017-3143 (https://kb.isc.org/article/AA-01503) связанны с возможностью обхода механизмов аутентификации TSIG и позволяют удалённому атакующему выполнить операции динамического обновления или  AXFR-передачи содержимого DNS-зоны без наличия ключа TSIG.


Уязвимость СVE-2017-3140 (http://www.mail-archive.com/bind-announce@lists.isc.org...) проявляется в некоторых конфигурациях RPZ (Response Policy Zones) и позволяет вызвать отказ в обслуживании через инициирование зацикливания при обработке ответка с нулевым TTL. Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org...) затрагивает установщик для  Windows и позволяет локальному пользователю через манипуляцию с неэкранированными путями повысить свои привилегии.

URL: http://www.mail-archive.com/bind-announce@lists.isc.org...
Новость: http://www.opennet.me/opennews/art.shtml?num=46786

Содержание
Сообщения в этом обсуждении
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Линукс нужен не только Ли , 30-Июн-17 10:24 
>при обработке ответка с нулевым TTL

Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено maximnik0 , 30-Июн-17 10:50 
>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.

По крайне мере с нулевым TTL письма и  пакеты уходят на расстояние около 80-120 миль :-)
Источник - глупые ошибки и байки администратора (библиотека Машкова) .Там описывался случай когда сервер с Солярисом находящим на гарантийном обслуживание обновили не глядя специалисты Сан, а Sendmail местный админ поставил более свежий .И новые конфиги старая версия программы не поняла и установили многие параметры по умолчанию в 0 .И админ не мог не как понять почему нечего дальше на это расстояние не уходит....

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено pkdr , 30-Июн-17 11:48 
А причём тут вообще sendmail?
Он работает на два уровня выше, чем IP, поэтому версия сендмейл в принципе никак не влияет на TTL в IP пакетах, ибо это совершенно не его забота, что содержится внутри IP пакета и он его не формирует.
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Аноним , 30-Июн-17 12:34 
Аноним перепутал, там речь шла не о ttl.
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено ryoken , 30-Июн-17 12:42 
>>Пакеты с нулевым TTL, как бы, должны быть отброшены маршрутизатором.
> По крайне мере с нулевым TTL письма и  пакеты уходят на
> расстояние около 80-120 миль :-)

А не на 550? В памяти это число почему-то после того рассказа висит :).

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено notte , 30-Июн-17 11:57 
где ты ваще увидел упоминание ip-пакетов в новости? там какбэ про bind, так может речь идёт о ttl для днс-зоны, не?
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Ergil , 30-Июн-17 15:51 
Речь про DNS'ный TTL. Время жизни записи.
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Аноним , 01-Июл-17 20:49 
Маршрутизатор заглядывает на прикладной уровень и смотрит DNS'ный TTL? А почта, идущая на foo@localhost должна быть отброшена маршрутизатором?
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено J.L. , 30-Июн-17 12:33 
//offtop
тока вчера Лёню Поттера ругали за дырки и требовали ставить бинд вместо его с-д-резолвера
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Аноним , 30-Июн-17 15:21 
Сейчас тебе костномозглые сверхразумы расскажут, что в systemd баг потому что там дураки, а тут два бага потому что система сложная :)
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено _ , 30-Июн-17 20:37 
А можно это сделаю я?

Сравни новость с:
Критическая уязвимость в systemd: удалённое выполнение кода
...
Уязвимость существует на протяжении 2 лет, начиная с systemd 223 и заканчивая последней 233.

и подумай. На bind'ах тоже было несладко 10-15-20 лет назад :) Но более-менее зашкурили и закрасили :-))) А с лёниным изделием следующие года будут явно нескучными ....

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Аноним , 30-Июн-17 20:47 
Уязвимость, которая по умолчанию выключена (в Debian, как минимум) и требует использования DNS-сервера злоумышленника vs обход TSIG для AXFR зон. Хорошо, что у меня все Bind зафаерволены по самое небалуй и принимают трансферы зон только с одного доверенного IP из подсети, которая за пределами AS даже не видна. А то я бы уже нервничал.
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено ryoken , 30-Июн-17 12:44 
> Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
> пользователю через манипуляцию
> с неэкранированными путями повысить свои привилегии.

BIND для Win? А, хм, нафейхоа?

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено J.L. , 30-Июн-17 13:53 
>> Уязвимость CVE-2017-3141  затрагивает установщик для  Windows и позволяет локальному
>> пользователю через манипуляцию
>> с неэкранированными путями повысить свои привилегии.
> BIND для Win? А, хм, нафейхоа?

а вдруг роскомнадзор убунту забанит?

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Аноним , 30-Июн-17 17:21 
>  Уязвимость CVE-2017-3141 (http://www.mail-archive.com/bind-announce@lists.isc.org...)
> затрагивает установщик для  Windows и позволяет локальному пользователю через манипуляцию
> с неэкранированными путями повысить свои привилегии.

Т.е. на венде возможность создавать файлы вне хомяка и тмп для любого пользователя -- все еще норма? Сикурити аж изо всех щелей, да!

"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено _ , 30-Июн-17 20:38 
Чёйта?! Точно так же как и в линуксе к примеру. Как настроишь - так и будет....
"Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением у..."
Отправлено Аноним , 01-Июл-17 13:15 
> Чёйта?! Точно так же как и в линуксе к примеру.
> Как настроишь - так и будет....

Понятно, настройки по умолчанию все еще не изменились.
И правильно - легаси и обратная совместимость с win 9.x рулят, да.
Это же не кнопка пуск или плиточки, в виде новаторства впарить не очень выйдет, а вот проблем с поддержкой и всевозможным старьем не оберешься.