В DNS сервере Bind 9 найдена (https://www.isc.org/node/474) уязвимость, позволяющая удаленному злоумышленнику инициировать крах серверного процесса через отправку специального dynamic dns update запроса для DNS зоны, которую обслуживает атакованный DNS сервер.

Уязвимости подвержены все серверы, настроенные мастером для одной или более зон, не исключая те, конфигурация которых не допускает динамического обновления. Применение ACL не дает защиты от уязвимости. Возможна настройка пакетного фильтра для блокирования запросов на динамическое обновление зоны. Slave-серверы не подвержены данной уязвимости.

При остановке сервера в лог выводится сообщение: "db.c:659: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed
exiting (due to assertion failure).". Крах возникает при получении dynamic update запроса, содержащего поле вида "ANY", когда в зоне присутствует как минимум одна RRset запись для данного доменного имени.

В сети циркулирует публичный эксплоит, поэтому разраб...

URL: https://www.isc.org/node/474
Новость: http://www.opennet.me/opennews/art.shtml?num=22796

• Вышел релиз DNS сервера Bind 9.4.3-P3, 9.5.1-P3, 9.6.1-P1 с ...,add, 20:32 , 29-Июл-09
• Вышел релиз DNS сервера Bind 9.4.3-P3, 9.5.1-P3, 9.6.1-P1 с ...,Аноним, 21:50 , 29-Июл-09
• Под FREEBSD есть обновления,kirsan, 12:10 , 30-Июл-09
• Вышел релиз DNS сервера Bind 9.4.3-P3, 9.5.1-P3, 9.6.1-P1 с ...,Аноним, 16:36 , 30-Июл-09

Обновились уже :)

Под RHEL 5 уже вышло обновление

Под FREEBSD обновилась вся 9 ветка в портах, не забывайте про cvsup :-)

Да, тока теперь nsupdate - НЕ работает, ппц.