URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127548
[ Назад ]
Исходное сообщение
"Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS "
Отправлено opennews , 18-Май-22 22:48 
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57211

Содержание
Сообщения в этом обсуждении
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 18-Май-22 22:48 
Что-то не новость про Bind, так уязвимость.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 18-Май-22 22:54 
Так было всегда.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 18-Май-22 23:13 
Неофициальное название проекта - BINDырень
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 01:28 
Есть ещё DHCPDырень и NTPDырень. Чуть менее популярны, но тоже регулярно радуют хакеров и пентестеров.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено ОноНим , 19-Май-22 07:04 
Самая популярная SystemDырень
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 09:31 
Нет, системда и здесь в пролёте. Даже решeто нормально сделать не могут.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 09:50 
У профессионалов ISC пинус гораздо длиннее, чем у Лёньки
https://security-tracker.debian.org/tracker/source-package/b...
https://security-tracker.debian.org/tracker/source-package/i...
https://security-tracker.debian.org/tracker/source-package/ntp
vs
https://security-tracker.debian.org/tracker/source-package/s...
(и это при том, что системда содержит в себе демоны для DNS, DHCP и NTP, то есть как бы должна быть жирнее и дырявее всех трёх вместе взятых, но нет)
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено rshadow , 19-Май-22 10:35 
Очевидно она содержит клиентов, которые на порядки проще чем серверная часть.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 11:10 
Systemd-resolved может работать как сервер DNS.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 11:32 
И systemd-networkd как сервер DHCP.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 20:49 
Unboundырень же
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 20-Май-22 00:04 
По сравнению с bind - вообще ни о чём, всего десяток дырок.
(2019-25XXX не в счёт, так как эксплуатация невозможна)
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Andy , 19-Май-22 14:13 
Неофициальное название проекта - Buggy Internet Name Daemon
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено microsoft , 19-Май-22 21:24 
Но при этом никто из вас не предложил ни кода, ни аналогов с полной заменой по функционалу.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 20-Май-22 00:00 
Потому что никому больше в голову не придет такая идиoтская идея - совмещать в одном сервере authoritative и recursive (авторы powerdns по молодости налажали, но потом осознали и распилили). Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Andy , 20-Май-22 15:11 
> Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга.

Идея - огонь, но тогда это будет очередное поделие в духе systemd :)

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 21-Май-22 12:12 
> Идея - огонь, но тогда это будет очередное поделие в духе systemd :)

Так bind уже давно является таким поделием. Сервером больше, сервером меньше - несколько процентов к объёму кода ничего не решат.

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 20-Май-22 22:46 
Так можешь не совмещать.
BIND тем и хорош, в отличие от супового набора смузи-костылей, что легко превращается что в то, что в это.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Andy , 20-Май-22 15:09 
Без проблем - https://cr.yp.to/djbdns.html
Для моих задач его хватает полностью. Но, на вкус и цвет - все фломастеры разные (с)
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 18-Май-22 23:25 
Думаете DoH для вашей безпасности? Такие новости настораживают, напрашивается версия о бэкдоре...
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 18-Май-22 23:30 
Защита от пакостей человека посередине, ни о какой безопасности речи не было.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 01:26 
>  Защита от пакостей человека посередине, ни о какой безопасности речи не было.

Я бы переформулировал так

> BIND - это продукт ISC, ни о какой безопасности речи не было.

 

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено борланд , 19-Май-22 05:57 
Dnssec, не?
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 09:33 
DNSSEC, в отличие от DoH, не предоставляет такие богатые возможности для фигерпринтинга, деанонимизации и отслеживания клиента.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 20-Май-22 00:30 
Поподробнее про заявленные возможности DoH, пожалуйста.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 21-Май-22 12:19 
Все те же самые, что и любого TLS. google://tls+fingreprint

Например: https://habr.com/ru/company/acribia/blog/560168/

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 01:22 
> Такие новости настораживают, напрашивается версия о бэкдоре...

Аварийное завершение - это не бэкдор, это кривые руки.

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 00:46 
Байнд нужен для того, чтобы свой днс-код было на чём тестировать. Для прода другое используется.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 01:29 
В проде, как правило, PowerDNS или Knot. В качестве рекурсивного ещё можно unbound и dnsmasq встретить.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 19-Май-22 10:21 
Это когда полторы зоны обслуживается.
А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 11:34 
> А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь.

И на windows xp как на серверную систему для прода, да?

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 23:14 
Без малого 10 лет был оператором публичного DNS. Зон было куда больше 5 тысяч. Байнд был в роли скрытого мастера, без подключения к публичным сетям. Клиентов обслуживал Knot. А ты написал херню
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 19-Май-22 23:18 
Ды не, ну кто ж вам запрещает пользоваться любимыми дилдо.
У меня и на скрытом мастере BIND (потому что DNSSEC надо где-то хоронить), и на внешних мастерах BIND, и на рекурсорах для клиентов BIND. Порядок числа зон несколько выше, но сопоставим с тем, что вы озвучили. Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 23:57 
> Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось.

Ну, аборигенам Африки тоже как-то необходимости предохраняться не знают.
И детей чем кормить - тоже не знают.
Вопрос: это осознанный выбор, или от недостатка образования?

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 20-Май-22 16:45 
В корпоративном ланчике с айпишечками из rfc1938 DNS можно хоть на винде поднять а
и указом совета директоров запретить его ронять. Я же про публичные депори говорю, там несколько иные приоритеты.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 20-Май-22 16:46 
s/rfc1938/rfc1918/

Быстрофикс

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 20-Май-22 22:48 
Как вы умудряетесь всё это ронять - мне неведомо.
Паблики на биндах, что рекурсоры, что авторитеты - работают железно уже десятки лет.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 21-Май-22 12:16 
Видимо, ваш паблик такой паблик, что на него ни разу не набредал даже пытливый школьник с метасплойтом, не говоря уже о более серьёзных ребятах.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено борланд , 19-Май-22 06:00 
Тут прям все регистраторы с >100к зон?
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено User , 19-Май-22 06:35 
Кришна с тобой! У большинства одна зона в ms dns, domain.local, AD integrated, вот это вот всё.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 09:34 
> Тут прям все регистраторы с >100к зон?

Сколько бы их ни было, держать этого жручего и дырявого монстра с жутко кривым конфигом - смысла никакого.

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 19-Май-22 22:58 
Такие ребята уже давно пилят какой-то там PowerDNS или что-то вроде того...

А вообще спецификация достаточно простая и за пару вечеров вполне можно сделать свою
реализацию под свой сервис, но как обычно проще жрать пыво ...

"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 19-Май-22 23:20 
Э нет, современный DNS за пару вечеров не сделаешь. Ну, если не как в жс и прочих крейтоляпах - тяп-тяп васянпакетов, и две строчки кода а-ля DNS.run(); exit 0;
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 20-Май-22 00:08 
CoreDNS так и слеплен.
И, заметим, умеет то, что вашему любимому bind-у и не снилось (например, https://coredns.io/plugins/template/ https://coredns.io/plugins/rewrite/)
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 20-Май-22 22:50 
Осталось только понять, зачем мне в паблике за пределами локалхоста с полутора проектами это может понадобиться.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Аноним , 21-Май-22 12:21 
Подкину вам ещё мысль: а зачем вашим "клиентам" вообще DNS? Пусть айпишники руками вбивают.
А то по доменным именам ходят, как смузихлёбы.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 21-Май-22 13:25 
Ну, вот примерно всё у вас так и есть.
"Обновление DNS-сервера BIND c устранением уязвимости в реали..."
Отправлено Онаним , 21-Май-22 13:26 
(это ж образ мышления такой)