Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS "	+/–
Сообщение от opennews (??), 18-Май-22, 22:48
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены... Подробнее: https://www.opennet.me/opennews/art.shtml?num=57211
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+4 +/–
Сообщение от Аноним (1), 18-Май-22, 22:48
Что-то не новость про Bind, так уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

	3. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+4 +/–
	Сообщение от Аноним (3), 18-Май-22, 22:54
	Так было всегда.
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+3 +/–
	Сообщение от Аноним (4), 18-Май-22, 23:13
	Неофициальное название проекта - BINDырень
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	10. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 19-Май-22, 01:28
	Есть ещё DHCPDырень и NTPDырень. Чуть менее популярны, но тоже регулярно радуют хакеров и пентестеров.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	–1 +/–
	Сообщение от ОноНим (?), 19-Май-22, 07:04
	Самая популярная SystemDырень
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+6 +/–
	Сообщение от Аноним (10), 19-Май-22, 09:31
	Нет, системда и здесь в пролёте. Даже решeто нормально сделать не могут.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 19-Май-22, 09:50
	У профессионалов ISC пинус гораздо длиннее, чем у Лёньки https://security-tracker.debian.org/tracker/source-package/b... https://security-tracker.debian.org/tracker/source-package/i... https://security-tracker.debian.org/tracker/source-package/ntp vs https://security-tracker.debian.org/tracker/source-package/s... (и это при том, что системда содержит в себе демоны для DNS, DHCP и NTP, то есть как бы должна быть жирнее и дырявее всех трёх вместе взятых, но нет)
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от rshadow (ok), 19-Май-22, 10:35
	Очевидно она содержит клиентов, которые на порядки проще чем серверная часть.
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (22), 19-Май-22, 11:10
	Systemd-resolved может работать как сервер DNS.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 19-Май-22, 11:32
	И systemd-networkd как сервер DHCP.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (28), 19-Май-22, 20:49
	Unboundырень же
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	36. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 20-Май-22, 00:04
	По сравнению с bind - вообще ни о чём, всего десяток дырок. (2019-25XXX не в счёт, так как эксплуатация невозможна)
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+1 +/–
	Сообщение от Andy (??), 19-Май-22, 14:13
	Неофициальное название проекта - Buggy Internet Name Daemon
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	29. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от microsoft (?), 19-Май-22, 21:24
	Но при этом никто из вас не предложил ни кода, ни аналогов с полной заменой по функционалу.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 20-Май-22, 00:00
	Потому что никому больше в голову не придет такая идиoтская идея - совмещать в одном сервере authoritative и recursive (авторы powerdns по молодости налажали, но потом осознали и распилили). Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Andy (??), 20-Май-22, 15:11
	> Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга. Идея - огонь, но тогда это будет очередное поделие в духе systemd :)
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 21-Май-22, 12:12
	> Идея - огонь, но тогда это будет очередное поделие в духе systemd :) Так bind уже давно является таким поделием. Сервером больше, сервером меньше - несколько процентов к объёму кода ничего не решат.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	–2 +/–
	Сообщение от Онаним (?), 20-Май-22, 22:46
	Так можешь не совмещать. BIND тем и хорош, в отличие от супового набора смузи-костылей, что легко превращается что в то, что в это.
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	39. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Andy (??), 20-Май-22, 15:09
	Без проблем - https://cr.yp.to/djbdns.html Для моих задач его хватает полностью. Но, на вкус и цвет - все фломастеры разные (с)
	Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

5. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
Сообщение от Аноним (5), 18-Май-22, 23:25
Думаете DoH для вашей безпасности? Такие новости настораживают, напрашивается версия о бэкдоре...
Ответить | Правка | Наверх | Cообщить модератору

	6. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+1 +/–
	Сообщение от Аноним (3), 18-Май-22, 23:30
	Защита от пакостей человека посередине, ни о какой безопасности речи не было.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+2 +/–
	Сообщение от Аноним (10), 19-Май-22, 01:26
	>  Защита от пакостей человека посередине, ни о какой безопасности речи не было. Я бы переформулировал так > BIND - это продукт ISC, ни о какой безопасности речи не было.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+1 +/–
	Сообщение от борланд (?), 19-Май-22, 05:57
	Dnssec, не?
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	17. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+2 +/–
	Сообщение от Аноним (10), 19-Май-22, 09:33
	DNSSEC, в отличие от DoH, не предоставляет такие богатые возможности для фигерпринтинга, деанонимизации и отслеживания клиента.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (38), 20-Май-22, 00:30
	Поподробнее про заявленные возможности DoH, пожалуйста.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 21-Май-22, 12:19
	Все те же самые, что и любого TLS. google://tls+fingreprint Например: https://habr.com/ru/company/acribia/blog/560168/
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 19-Май-22, 01:22
	> Такие новости настораживают, напрашивается версия о бэкдоре... Аварийное завершение - это не бэкдор, это кривые руки.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
Сообщение от Аноним (7), 19-Май-22, 00:46
Байнд нужен для того, чтобы свой днс-код было на чём тестировать. Для прода другое используется.
Ответить | Правка | Наверх | Cообщить модератору

	11. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 19-Май-22, 01:29
	В проде, как правило, PowerDNS или Knot. В качестве рекурсивного ещё можно unbound и dnsmasq встретить.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	–7 +/–
	Сообщение от Онаним (?), 19-Май-22, 10:21
	Это когда полторы зоны обслуживается. А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+2 +/–
	Сообщение от Аноним (10), 19-Май-22, 11:34
	> А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь. И на windows xp как на серверную систему для прода, да?
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (7), 19-Май-22, 23:14
	Без малого 10 лет был оператором публичного DNS. Зон было куда больше 5 тысяч. Байнд был в роли скрытого мастера, без подключения к публичным сетям. Клиентов обслуживал Knot. А ты написал херню
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	32. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	–3 +/–
	Сообщение от Онаним (?), 19-Май-22, 23:18
	Ды не, ну кто ж вам запрещает пользоваться любимыми дилдо. У меня и на скрытом мастере BIND (потому что DNSSEC надо где-то хоронить), и на внешних мастерах BIND, и на рекурсорах для клиентов BIND. Порядок числа зон несколько выше, но сопоставим с тем, что вы озвучили. Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+2 +/–
	Сообщение от Аноним (10), 19-Май-22, 23:57
	> Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось. Ну, аборигенам Африки тоже как-то необходимости предохраняться не знают. И детей чем кормить - тоже не знают. Вопрос: это осознанный выбор, или от недостатка образования?
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+1 +/–
	Сообщение от Аноним (7), 20-Май-22, 16:45
	В корпоративном ланчике с айпишечками из rfc1938 DNS можно хоть на винде поднять а и указом совета директоров запретить его ронять. Я же про публичные депори говорю, там несколько иные приоритеты.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	42. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (7), 20-Май-22, 16:46
	s/rfc1938/rfc1918/ Быстрофикс
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Онаним (?), 20-Май-22, 22:48
	Как вы умудряетесь всё это ронять - мне неведомо. Паблики на биндах, что рекурсоры, что авторитеты - работают железно уже десятки лет.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	47. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 21-Май-22, 12:16
	Видимо, ваш паблик такой паблик, что на него ни разу не набредал даже пытливый школьник с метасплойтом, не говоря уже о более серьёзных ребятах.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от борланд (?), 19-Май-22, 06:00
	Тут прям все регистраторы с >100к зон?
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	14. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+2 +/–
	Сообщение от User (??), 19-Май-22, 06:35
	Кришна с тобой! У большинства одна зона в ms dns, domain.local, AD integrated, вот это вот всё.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+1 +/–
	Сообщение от Аноним (10), 19-Май-22, 09:34
	> Тут прям все регистраторы с >100к зон? Сколько бы их ни было, держать этого жручего и дырявого монстра с жутко кривым конфигом - смысла никакого.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	30. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (30), 19-Май-22, 22:58
	Такие ребята уже давно пилят какой-то там PowerDNS или что-то вроде того... А вообще спецификация достаточно простая и за пару вечеров вполне можно сделать свою реализацию под свой сервис, но как обычно проще жрать пыво ...
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	33. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	–2 +/–
	Сообщение от Онаним (?), 19-Май-22, 23:20
	Э нет, современный DNS за пару вечеров не сделаешь. Ну, если не как в жс и прочих крейтоляпах - тяп-тяп васянпакетов, и две строчки кода а-ля DNS.run(); exit 0;
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 20-Май-22, 00:08
	CoreDNS так и слеплен. И, заметим, умеет то, что вашему любимому bind-у и не снилось (например, https://coredns.io/plugins/template/ https://coredns.io/plugins/rewrite/)
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Онаним (?), 20-Май-22, 22:50
	Осталось только понять, зачем мне в паблике за пределами локалхоста с полутора проектами это может понадобиться.
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Аноним (10), 21-Май-22, 12:21
	Подкину вам ещё мысль: а зачем вашим "клиентам" вообще DNS? Пусть айпишники руками вбивают. А то по доменным именам ходят, как смузихлёбы.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Онаним (?), 21-Май-22, 13:25
	Ну, вот примерно всё у вас так и есть.
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Обновление DNS-сервера BIND c устранением уязвимости в реали..."	+/–
	Сообщение от Онаним (?), 21-Май-22, 13:26
	(это ж образ мышления такой)
	Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема