OpenForum RSS: Критические уязвимости в DNS-сервере PowerDNS Recursor https://www.opennet.ru/openforum/vsluhforumID3/62695.html В открытом высокопроизводительном DNS-сервере PowerDNS Recursor найдены (http://mailman.powerdns.com/pipermail/pdns-announce/2010-January/000116.html) две критические уязвимости, позволяющие удаленному злоумышленнику через отправку специально оформленного пакета выполнить (http://doc.powerdns.com/powerdns-advisory-2010-01.html) свой код на сервере и осуществить (http://doc.powerdns.com/powerdns-advisory-2010-02.html) подстановку данных злоумышленника в кэш DNS сервера. <br><br><br>Уязвимости устранены в релизе PowerDNS Recursor 3.1.7.2 (http://www.powerdns.com/en/downloads.aspx), всем пользователям PowerDNS рекомендуется срочно произвести обновление. В настоящий момент ведется подготовка штатных обновлений для Debian, FreeBSD, Gentoo и SUSE, для RHEL/CentOS пакеты с новой версией можно загрузить здесь (http://www.monshouwer.eu/download/3th_party/pdns-recursor/), а для Ubuntu - здесь (http://downloads.powerdns.com/releases/deb/). Проблеме подвержен только PowerDNS Recursor (преобразователь имён), авторитативный сер Критические уязвимости в DNS-сервере PowerDNS Recursor (adilm) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#16 Fri, 08 Jan 2010 05:33:38 GMT &gt;[оверквотинг удален]<br>&gt;совсем не хочется. <br>&gt;<br>&gt;Тем более, когда речь идет о хостинге, и записи появляются и пропадают <br>&gt;сами. Все эти "раз в N минут запустить по крону скрипт <br>&gt;чтобы тот посмотрел, и, если надо, обновил конфиг", на которых все <br>&gt;живут &#8212; это ведь, на самом деле, костыли в чистейшем виде. <br>&gt;<br>&gt;<br>&gt;В общем, я это к чему... Вот где взять такое же только <br>&gt;с перламутровыми пуговицами, в смысле, для djbdns? <br><br>Ясно все с вами<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#15 Fri, 08 Jan 2010 00:14:44 GMT &gt;http://www.inter7.com/index.php?page=dnsadmin <br><br>Большое спасибо, но видел. MySQL-only, увы.<br><br>&gt;Еще вот тут http://www.lifewithdjbdns.com/ раздел 6.5.1 <br><br>Takes DNS-Info out of the database and creates tinydns' data-file. Т.е. как раз упомянутый выше костыль &#171;файл зоны из БД&#187;.<br><br>Разработчики pdns как раз это очень правильно все поняли, и сделали систему бэкендов. Там можно и файл взять, и БД, и, если уж совсем плохо дело, что угодно через пайпу с простым текстовым протоколом подключить.<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (Vitaly_loki) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#14 Thu, 07 Jan 2010 21:28:26 GMT http://www.inter7.com/index.php?page=dnsadmin<br>не?<br><br>Еще вот тут http://www.lifewithdjbdns.com/ раздел 6.5.1<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#13 Thu, 07 Jan 2010 20:34:21 GMT Это, правда, не о рекурсоре, но на близкую тему...<br><br>У PowerDNS есть чудесное свойство, даже два &#8212; работа с БД и фронтенды для пихания данных в эту БД. Например, довольно приятная веб-мордочка PowerDNS on Rails. Попробовав раз возвращаться к текстовым файлам (а у djbdns там еще и препроцессор нужен, чтобы SRV и AAAA-записи пихать) совсем не хочется.<br><br>Тем более, когда речь идет о хостинге, и записи появляются и пропадают сами. Все эти "раз в N минут запустить по крону скрипт чтобы тот посмотрел, и, если надо, обновил конфиг", на которых все живут &#8212; это ведь, на самом деле, костыли в чистейшем виде.<br><br>В общем, я это к чему... Вот где взять такое же только с перламутровыми пуговицами, в смысле, для djbdns?<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (Sw00p aka Jerom) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#10 Thu, 07 Jan 2010 07:40:17 GMT +1<br><br>ps: пошёл апдейтить рекурсор ))<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (adilm) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#9 Thu, 07 Jan 2010 06:40:44 GMT Use djbdns.<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (shutdown now) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#8 Thu, 07 Jan 2010 01:34:42 GMT это про RAID?<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (shutdown now) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#7 Thu, 07 Jan 2010 01:12:30 GMT а вот и про него:<br>FreeBSD-SA-10:01.bind Security Advisory<br> The FreeBSD Project<br><br>Topic: BIND named(8) cache poisoning with DNSSEC validation<br><br>Category: contrib<br>Module: bind<br>Announced: 2010-01-06<br>Credits: Michael Sinatra<br>Affects: All supported versions of FreeBSD.<br>Corrected: 2009-12-11 01:23:58 UTC (RELENG_8, 8.0-STABLE)<br> 2010-01-06 21:45:30 UTC (RELENG_8_0, 8.0-RELEASE-p2)<br> 2009-12-11 02:23:04 UTC (RELENG_7, 7.2-STABLE)<br> 2010-01-06 21:45:30 UTC (RELENG_7_2, 7.2-RELEASE-p6)<br> 2010-01-06 21:45:30 UTC (RELENG_7_1, 7.1-RELEASE-p10)<br> 2010-01-06 21:45:30 UTC (RELENG_6, 6.4-STABLE)<br> 2010-01-06 21:45:30 UTC (RELENG_6_4, 6.4-RELEASE-p9)<br> 2010-01-06 21:45:30 UTC (RELENG_6_3, 6.3-RELEASE-p15)<br>CVE Name: CVE-2009-4022<br> Критические уязвимости в DNS-сервере PowerDNS Recursor (sHaggY_caT) https://www.opennet.ru/openforum/vsluhforumID3/62695.html#6 Wed, 06 Jan 2010 23:50:34 GMT &gt;а чего с BIND??? <br><br>Про него ни слова :)<br>