URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 109267
[ Назад ]
Исходное сообщение
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено opennews , 30-Сен-16 10:07 
Консорциум ISC представил новые выпуски DNS-сервера BIND 9.9.9-P3 (https://lists.isc.org/pipermail/bind-announce/2016-September...) и 9.10.4-P3 (https://lists.isc.org/pipermail/bind-announce/2016-September...), в которых устранена уязвимость (https://lists.isc.org/pipermail/bind-announce/2016-September...) (CVE-2016-2776 (https://security-tracker.debian.org/tracker/CVE-2016-2776)), позволяющая вызвать отказ в обслуживании, инициировав крах процесса-обработчика через отправку специально оформленного запроса. Проблеме подвержены все выпуски BIND ветки 9.x. Уязвимость проявляется даже если запрос поступил с IP-адреса, не имеющего прав отправки запросов и не подпадающего под правила allow-query.

URL: https://lists.isc.org/pipermail/bind-announce/2016-September...
Новость: http://www.opennet.me/opennews/art.shtml?num=45248

Содержание
Сообщения в этом обсуждении
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 30-Сен-16 10:07 
BIND опять привет...

ISC DHCP и Tea тоже не отвечает качеству и не стоит не доллара.

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено пох , 30-Сен-16 12:47 
>   ISC DHCP и Tea тоже не отвечает качеству и не стоит не доллара.

вот потому что ты за них и рубля не заплатил - и не отвечает.

Смешнее то, что поделок а-ля dhcp еще каких-то поналепили (обычно узкоспециализированных, поэтому приходится как базовый использовать по прежнему isc'шный), а адекватной замены bind нет по сей день.

Я даже согласен на вариант с раздельным cache/authoritative, но не в виде же unbound, мля.

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Michael Shigorin , 30-Сен-16 14:37 
> вот потому что ты за них и рубля не заплатил - и не отвечает.

Вас же не затруднит привести пример реализации, за которую следует платить и которая при этом отвечает в большей мере?

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 30-Сен-16 14:57 
А powerdns чем не устраивает?
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Sw00p aka Jerom , 30-Сен-16 15:05 
> А powerdns чем не устраивает?

комплекс неосилятора искать альтернативы.

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Sw00p aka Jerom , 30-Сен-16 15:04 
>> а адекватной замены bind нет по сей день.

бред какой-то несёте, никогда не пользовался биндом, nsd+unbound, powerdns+powerdns-recursor. В продакшене лет 10 как.

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено xm , 30-Сен-16 16:13 
Ну я, положим, ещё BIND попользовал ещё начиная с 4 версии, но последние годы Unbound + NSD делают своё дело более чем достойно.
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено й , 02-Окт-16 01:07 
эм, а какой нынче аналог zones в unbound+nsd?
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено A.Stahl , 30-Сен-16 10:07 
>BIND 9.9.9

Надо было 10 версию выпускать. Нынче мода на версию №10.

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 30-Сен-16 10:09 
В 10 еще больше багов включая и баги DHCP
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Michael Shigorin , 30-Сен-16 10:35 
ping of death
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено iCat , 01-Окт-16 04:47 
>ping of death

"Мало кто может... не только лишь все" :)
Миха, у тебя нет бороды по пояс?
Может быть, ты помнишь ту последовательность символов, которую можно записать в текстовый файл с раширением COM, а потом этот com швыряет комп в ребут?

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Michael Shigorin , 01-Окт-16 11:31 
>>ping of death
> "Мало кто может... не только лишь все" :)

Технически говоря, эти слова применительно к этой уязвимости у нас произнёс ldv@, но я их тоже помню.

> Миха, у тебя нет бороды по пояс?

Не-а.

> Может быть, ты помнишь ту последовательность символов, которую можно записать
> в текстовый файл с раширением COM, а потом этот com швыряет комп в ребут?

У нас на кружке таким другие по большей части занимались с четверть века тому. :)

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 30-Сен-16 10:54 
Кто-нибудь в курсе, когда для Debian 7 пофиксят BIND 9.8?
https://security-tracker.debian.org/tracker/CVE-2016-2776
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 30-Сен-16 10:57 
Обновись до Debian 8 или ночнушку Deban 9
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено rt , 30-Сен-16 15:10 
У вас там в дебиане все дома? Что бы обновить ПО, надо обновить версию ОС??
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено xm , 30-Сен-16 16:15 
В мире Линукс такое встречается.
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 01-Окт-16 03:25 
Естественно, а вы не знали? Они называют это "стабильность".
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено sv , 01-Окт-16 11:30 
Решил в своем зоопарке двумя способами:

1) Вручную собрть и поставить bind со всеми библиотеками и окружением из исходников. Гугл в помощь. Там ничего сложного. Ищите версию, где "pac" используется. Только советую сохранить предварительно из /etc и chroot все, что с ним связано, куда-нибудь - оно потом прекрасно подходит к установленному вручную. Это жесткий такой вариант, зато отвязывает от (... кхм...) немного тормозного и дерганого мэйнтенера пакетов. И я мэйнтенера понимаю. Применения политик дебиан к ортогональным им политикам создателя ПО - жесть жестяная.

2) Забить на bind и поставить nsd/powerdns или unbound/pdnsd для рекурсора (простейшие подмены и мелкие внутренние зонки в последнем делаются движением левой ноги).

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Michael Shigorin , 01-Окт-16 11:42 
> вручную. Это жесткий такой вариант, зато отвязывает от (... кхм...) немного
> тормозного и дерганого мэйнтенера пакетов. И я мэйнтенера понимаю.

Надо понимать, что после такого действия локальным майнтейнером остаётесь только Вы, а до него есть шанс помочь майнтейнеру используемого дистрибутива (и другим, помимо себя).

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено sv , 01-Окт-16 15:20 
А там bind доисторический. Некоторые патчи на него не натянуть почти никак.

И ортогональность подхода в том, что в debian в пределах релиза будут задницу рвать, а стараться сохранить текущие версии софта, а вот у isc таки ограниченная по времени поддержка веток. Причём в пределах одной точки, п не

"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 01-Окт-16 12:26 
Все кроме Bind не умеют работать с Samba4 (Active Directory) - BIND_DLZ.
"Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранени..."
Отправлено Аноним , 30-Сен-16 11:11 
На Centos 7 уже прилетело.