The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Вышла новая версия DNS сервера BIND с исправлением..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Вышла новая версия DNS сервера BIND с исправлением..."  
Сообщение от opennews on 25-Июл-07, 17:24 
Выпущены обновленные версии DNS сервера BIND: 9.4.1-P1 (http://comments.gmane.org/gmane.network.dns.bind.announce/104), 9.3.4-P1 (http://comments.gmane.org/gmane.network.dns.bind.announce/105),  9.2.8-P1 (http://comments.gmane.org/gmane.network.dns.bind.announce/106) и 9.5.0a6 (http://comments.gmane.org/gmane.network.dns.bind.announce/107), с исправлением уязвимости (http://www.trusteer.com/docs/bind9dns.html) дающей возможность злоумышленнику организовать отправку клиенту фиктивных ответов DNS сервера.


Проблема заключается в возможности предсказания с высокой вероятностью идентификатора следующего DNS запроса. Злоумышленник может сгенерировать поддельный ответ, который будет  отдан на запрос клиента, если BIND работает в режиме резолвера или когда первичный DNS сервер осуществляет оправку NOTIFY-пакета вторичному.


Кроме того, введены ограничения по умолчанию для рекурсивных запросов и обращений к кэшу, теперь по умолчанию устанавливаются ACL:


   options {
      recursion yes; // default
      allow-recursion { localnets; localhost; };
      allow-query-cache { localnets; localhost; };
      ...
   };

URL: http://it.slashdot.org/article.pl?sid=07/07/24/1614205&from=rss
Новость: http://www.opennet.me/opennews/art.shtml?num=11539

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


3. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Sampan on 25-Июл-07, 23:24 
>Про "раз в месяц" поподробнее, пожалуйста. С указанием (хотя бы) ссылок на 2 предыдущих месяца.

А что, этой идиотской уязвимости мало? Да за такую глупость надо навсегда запрещать писать какой-либо код. Мало что-ли в сети открытых референсных генераторов случайных чисел? Если посмотреть на историю уязвимостей BIND, то по нанесенному ущербу ему уступит только sendmail.

Интересно, сколько раз надо залатать очередную критическую уязвимость с удаленным выполнением, что бы понять, что горбатого только могила исправит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Петя on 26-Июл-07, 22:31 
Главное - ляпнуть сначала про ежемесячность, а когда конкретный вопрос задали - начинать отмазываться. Ну гордись своим DJB DNS. Только не лопни от гордости. А ещё лучше - напросись в команду разработчиков в ISC - и научи их программированию. Умник, ...ля. Только трындеть и умеем. Пузыри и понты пускать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Вася on 25-Июл-07, 23:32 
Sampan, не надо фанатизма, успокойтесь Вы говорите просто брет...
К сожелению, если Вы ничего не понимаете в ПО или в разработке ПО и тд...то посторайтесь прочесть что-то, чтоб понять хоть принцип работы служб DNS, а так же теории безопатсности dns...
А если нет своего ума - обратитесь к компетентным инженерам, а не малолетним бомжам...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Sampan on 26-Июл-07, 00:23 
Вася. Бездоказательно ляпнуть "Вы говорите просто брет" большого ума не надо. Я бы сказал наоборот, обычно подобная фраза полностью раскрывает интеллектуальный уровень и компетенцию говорящего.

Вместо глупых и голословных утверждений почитайте-ка лучше описание уязвимости: "алгоритм, по которому генерируется случайная 16-битная транзакция и ее идентификатор в действительности случайными не являются и подлежат подделке и расшифровке. Это позволит атакующему подделать ответ и переправить пользователя по подложному адресу". А затем немного подумайте (поверьте, понять эту уязвимость совсем не сложно). И если у Вас еще осталось немного серого вещества, то Вы согласитесь со мной, что в 2007 году за подобные "перлы" в кодировании нужно, как минимум, руки отрубать, что-бы больше до клавиатуры не касался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Вася on 26-Июл-07, 00:51 
ну ты читай раз не понимаешь,
я могу тебе сквзать по-секрету - что многие многие и очень многие выбрали бинд, и что самое странное большинство работает на более старых версиях...

Если я запущу бинд 9.2 ты мне сможешь там удалить подменить или добавить данные в зоне или конфигурации ???
я думаю, что нет.
А вот если я куплю у маленьких карликов 30 минут доса и направлю его на тебя то тебя нечего не спасет, даже твой любимый патч для freebsd-панталон.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Sampan on 26-Июл-07, 02:39 
>Если я запущу бинд 9.2 ты мне сможешь там удалить подменить или добавить данные в зоне или конфигурации ??? я думаю, что нет.

Батенька, да Вы дурак!

Эта уязвимость не про подмену зон или конфигурации. Это про то, что достаточно легко возможно подменить DNS ответ от уязвимого сервера. Сами провайдеры при этом не страдают. Страдают их клиенты, которым теперь можно подсунуть произвольный IP адрес в ответ на запрос, например, www.citybank.com.

Уведомление об этой уязвимости срочно разослали прежде всего крупным DNS хостерам.

>я куплю у маленьких карликов 30 минут доса и направлю его на тебя

Точно дурак!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от BIND user on 26-Июл-07, 06:45 
Пожалуй, стоит поднапрячься и поставить DJB DNS, обещание автора выплалить $500 за уязвимость обнадёживает, да и отзывы хорошие (в отличие от BIND). SPF - sender policy framework - надеюсь в DJB будет работать (по идее с TXT записями не должно быть проблем)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от lithium email(ok) on 26-Июл-07, 10:57 
нормально работает, на http://www.openspf.org/ есть мастер для создания записи
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от rWizard (??) on 26-Июл-07, 11:58 
А в качестве бонуса получите уменьшение нагрузки на систему )
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от lithium email(ok) on 26-Июл-07, 12:37 
P.S. Не сочтите за рекламу, но на http://lithium.opennet.ru/ есть IMHO достаточный объем информации чтобы попробовать, + в конце статей есть ссылки на другие источники информации.
У меня за все время использования была только одна проблема -- djbns не обрабатывает SIGPIPE (DJB по этому поводу написал, что он просто забыл добавить этот обработчик) и при совпадении таких факторов как глючный свитч (часто рвались длинные по времени TCP-сессии) и какие-то огромные PTR-записи, передаваемые по TCP, соединения рвались и он падал. Однако из-за того, что его тут же поднимал daemontools, узнал об этом только по разному uptime у двух кэшей. Проблема решилась добавлением одной строки в стартовый скрипт...
А так вообще про него не вспоминаешь, разве что раз в пару месяцев размер кэша в памяти немного поднастроишь -- нагрузки растут... Но в обычной локальной сети фирмы этот параметр вряд ли когда нужно будет трогать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Tatarin (??) on 26-Июл-07, 09:50 
Хе хе хе!
История повторяется!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 10:47 
Господа, эта атака имеет смысл только в одном случае-если злоумышленник может прикинуться днс-сервером(т.е. подделать свой IP итп) и послать сгенеренный ответ клиенту. Но в таких сетях о какой-либо безопасности речи не идет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 10:59 
Читайте внимательно описание проблемы - заражению подвержен КЕШ бинда!!! Атакующий может зафлудть бинд ложными ответами на его попытки разрешть какое-нибудь имя! Заражается кеш! Это пипец господа...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от хряк с другой тачки email on 26-Июл-07, 11:04 
Это пипиец..., караул спасите ...
счас сломают мой бинд... ААААААААААА


все пошел молится, потом вешаться...

блин а может пойти к началству с этой новостью.. пусть зарплату поднимают...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Вася on 26-Июл-07, 12:23 
и че он там подменит то ?
расскажите как это зделать в локальной сети ?
у меня есть к примеру хост А - сервер(ДНС)-1
хост А - хочет например зайти в свой банк-интфейс и шлет соответвенно к серверу-1 dns-запрос coolbank.com...
допустим есть злоумышленик хост B желающий отправит клиенту ложную информацю о том, что coolbank.com -> на его машине)

Расскажите каким образом это будет реализованно ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 12:36 
То есть по ссылкам мы не ходим, по англицки не не умеем?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от belkin email on 26-Июл-07, 12:40 
Что ISC плохо дыряво пишут - факт. Можно ли везде сменить BIND на другое - нет, так как BIND это некоторым образом стадарт реализованный в коде.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 13:50 
я в качестве резолвера и кеша powerdns-recursor использую, а bind только в качестве авторитетного, по фичастости с ним мало кто может сравниться
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 13:54 
Стандарт это RFC1034 RFC1035 и последующие, а бинд это кривая реализация. Если у вас нет необходимости в каких-то извращениях доступных только в нем, то не стоит и связываться. Этот софт уже давно дескредитировал себя как решение на которое можно положиться... Лишняя головная боль.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 14:18 
да, мне несколько view нужны, причём, как на первичном, так и на вторичном сервере
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 14:20 
>да, мне несколько view нужны

В DJB DNS это есть - можно реализовать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 14:22 
а как view в DJB DNS на вторичном синхронизироваться будут, на bind сейчас через tsig
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 26-Июл-07, 14:58 
В комплект DJB входит axfrdns (без криптования соединения). Это на случай, если slave BIND. Если slave тоже DJBDNS то очень удобно rsync через ssh.

http://lifewithdjbdns.org/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 27-Июл-07, 16:01 
где скачать новую версию dns???
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Сашка on 28-Июл-07, 13:50 
одно название DjB уже выводит и только формирует негатив...
как стадо глупых карликов все в один голосо орете "бинд го*но", а конкретно по-делу 0.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от lithium email(ok) on 30-Июл-07, 10:01 
>одно название DjB уже выводит и только формирует негатив...

imho это Ваши личные проблемы.

>как стадо глупых карликов все в один голосо орете "бинд го*но", а
>конкретно по-делу 0.

по делу уже приводили ссылки, на securityfocus можно посчитать сколько их уже есть.
Также можно почитать http://cr.yp.to/djbdns/blurb/security.html
Лично меня кроме всего перечисленного сильно раздражает небезопасное отслеживание кэшем BIND'а цепочки полномочий. Если перенести NS-сервера на другие IP и оставить работать старые, то по истечении всех TTL он все равно ходит на старые, пока их не остановишь... Также, опрос знакомых с BIND показывает что при сопоставимых нагрузках djbdns расходует намного меньше ресурсов.
http://ospf-ripe.livejournal.com/1601.html -- в тему.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Вышла новая версия DNS сервера BIND с исправлением уязвимост..."  
Сообщение от Аноним on 28-Июл-07, 17:10 
у меня и для bind через rsync файл с описанием зон на вторичнике перестраивается, сами зоны, как всегда, через notify

rsync -az -e ssh bindsync@80.0.0.2:/var/named/etc/namedb/primaries.zones /var/named/etc/namedb/primaries.zones
if [ $? -ne 0 ]; then
    echo "rsync failed"
    exit 1
fi

sed -e '/^\/\//D' -e '/^#/D' -e '/allow-.*;/D' \
    -e '/;/s/master\//slave\//g' \
    -e '/type.*;/s/master/slave/g' \
    -e '/type.*slave.*;/ a\
        masters { 80.0.0.2; } ;' \
    /var/named/etc/namedb/primaries.zones > /var/named/etc/namedb/secondaries.zones

if [ $? -ne 0 ]; then
    echo "sed failed"
    exit 1
fi

/usr/sbin/rndc reload > /dev/null

Поначалу использовал этот же самый Bind и как резолвер и кеш, но когда bind отжирал памяти >300Mb rndc reload уже не работал, даже остановить bind было проблемой, по 5 минут висел после rndc stop
поэтому пересел на powerdns-recursor, Bind чисто authoritative

DjB использую на почтовиках в качестве резолвер и кеша (rbl много запросов генерят, до 4000/c доходит), в портах freebsd есть патч persistent cache, при перезапуске реально помогает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру