The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от opennews (??) on 27-Июл-13, 23:07 
Организация ISC выпустила (https://lists.isc.org/pipermail/bind-announce/2013-July/0008...) экстренные обновления DNS-сервера BIND с устранением уязвимости (CVE-2013-4854), позволяющей инициировать крах процесса named через отправку  запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитативные серверы. Ограничение доступа через ACL не позволяет защититься от проблемы, помочь может только ограничение доступа к сетевому порту на уровне пакетного фильтра. Проблема усугубляется тем, что информация о методе эксплуатации появилась в Сети до выхода исправления и несколько компаний зафиксировали применения уязвимости для атаки на  DNS-серверы.

В настоящий момент уязвимость уже исправлена в выпусках BIND 9.9.3-P2 и 9.8.5-P2, все остальные версии BIND 9, новее ветки 9.6, подвержены атаке. Для BIND 9.7 официальное исправление не выпущено, так как время поддержки данной ветки прекращено, тем не менее уже доступно (http://seclists.org/fulldisclosure/2013/Jul/256) обновление пакетов с BIND 9.7 для Debian. Аналогичное обновление также выпустил (http://www.freebsd.org/security/advisories/FreeBSD-SA-13:07....) проект FreeBSD. RHEL/CentOS, Fedora, SUSE, openSUSE, Ubuntu и другие дистрибутивы Linux обновления на момент написания новости  ещё не выпустили (http://wiki.opennet.ru/SecurityAnnounces).

Отдельно можно отметить объявление (https://www.isc.org/blogs/isc-adds-ddos-defense-module-to-bi.../) о добавлении в состав будущих выпусков BIND модуля  RRL (https://kb.isc.org/article/AA-01000), предоставляющий эффективный механизм для защиты от проведения DDoS-атак с использованием DNS. Речь ведётся не об атаках, направленных на выведение из строя DNS-сервера, а об использовании DNS-серверов для атак на другие системы. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов (исходный трафик приумножается примерно в 100 раз).


Во втором квартале 2013 года частота проведения подобных атак возросла на 20%. При этом в среднем при каждой такой DDoS атаке генерируется трафик порядка 50 млн пакетов в секунду. RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя (заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие). Модуль RRL добавляет поддержку директивы responses-per-second в блок rate-limit, позволяющей задать допустимое число ответов в секунду.


URL: https://lists.isc.org/pipermail/bind-announce/2013-July/0008...
Новость: http://www.opennet.me/opennews/art.shtml?num=37528

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –4 +/
Сообщение от Аноним (??) on 27-Июл-13, 23:07 
самая большая дыра - наличие интернета как такового
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Опасная уязвимость в DNS-сервере BIND. В состав BIND..."  +2 +/
Сообщение от arisu (ok) on 27-Июл-13, 23:14 
«шо, опять?!»
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Аноним (??) on 27-Июл-13, 23:23 
Обновился :-p
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +4 +/
Сообщение от kurokaze (ok) on 27-Июл-13, 23:47 
>Обновился :-powerdns

Исправил, не благодари

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Sabakwaka (ok) on 28-Июл-13, 00:24 
Прекрасно.
А то ЗАДРАЛИ китайцы за последнюю неделю...

Только RRL патч нужно указать при сборке.
По умолчанию отключен.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +2 +/
Сообщение от Вонни on 28-Июл-13, 00:52 
в nsd все это давно реализовано

--enable-ratelimit      Enable rate limiting
--enable-draft-rrtypes  Enable draft RRtypes.

--with-max-ips=number   Limit on the number of ip-addresses that may be specified

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Опасная уязвимость в DNS-сервере BIND. В состав BIND..."  +3 +/
Сообщение от Аноним (??) on 28-Июл-13, 01:17 
Хорошо еще, что не remote code execution, как в старые добрые времена.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +5 +/
Сообщение от Аноним (??) on 28-Июл-13, 01:42 
>>Обновился :-powerdns
> Исправил, не благодари

Обновись до powerdns и получи пачку глюков в самых неожиданных местах. Зато зоны в РСУБД, че.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Sabakwaka (ok) on 28-Июл-13, 01:48 
>> в nsd все это давно реализовано

Страшновато, блеин, переходить с БИНДа...
Особенно в преддверии подъёма IDN почты...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Нанобот (ok) on 28-Июл-13, 03:02 
>RRL является способом справиться с проблемой на стороне DNS-серверов

мечтать не вредно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Аноним (??) on 28-Июл-13, 07:53 
Не, у меня и powerdns тоже есть. И зоны в файлах как у BIND, powerdns такое умеет, ага.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Аноним (??) on 28-Июл-13, 10:28 
какая то детская болезнь .. ИМХО .. чо раньше то, головы где были ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +1 +/
Сообщение от Вонни on 28-Июл-13, 12:11 
>>> в nsd все это давно реализовано
> Страшновато, блеин, переходить с БИНДа...
> Особенно в преддверии подъёма IDN почты...

nginx + nsd = что может быть проще?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Dfox on 28-Июл-13, 12:17 
+1
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Sabakwaka (ok) on 28-Июл-13, 13:51 
>>>> в nsd все это давно реализовано
>> Страшновато, блеин, переходить с БИНДа...
>> Особенно в преддверии подъёма IDN почты...
> nginx + nsd = что может быть проще?

Да уже почитал про nsd...
Нужно будет  перейти на nsd, конечно.
Впечатляющая производительность и нетребовательность к ресурсам.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Sabakwaka (ok) on 28-Июл-13, 15:09 
>>RRL является способом справиться с проблемой на стороне DNS-серверов
>мечтать не вредно

Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –2 +/
Сообщение от Аноним (??) on 28-Июл-13, 23:11 
смотря на что.
если на unbound или djbdns - даже проще. и с ходе миграции и тем более поотом.
если на powerdns или более монструозное - то всякое возможно :(
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Вонни on 28-Июл-13, 23:52 
Ты про это http://habrahabr.ru/post/178727/
?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Аноним (??) on 29-Июл-13, 00:00 
Ты прям как сталин: "нет того - нет сего"

Тогда вот так "Думайте сами, решайте сами - иметь или не иметь."

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

22. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –2 +/
Сообщение от 123 (??) on 29-Июл-13, 02:13 
Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Led (ok) on 29-Июл-13, 02:29 
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.

Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +3 +/
Сообщение от Аноним (??) on 29-Июл-13, 06:06 
Самая большая дыра - это наличие у вас компьютера.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Клыкастый (ok) on 29-Июл-13, 09:34 
в венде? дооооо.... они bsd-шный стек, уже готовый, пришпандорить к своей поделке не могли без дырок. фрагментацию пакетов не осилили, позорники. уровень ниже горбатых поделок новичков-программистов.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Dfox on 29-Июл-13, 09:36 
> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.

О чом вы?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от SubGun (ok) on 29-Июл-13, 09:55 
Слюни подотри.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от SubGun (ok) on 29-Июл-13, 09:56 
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.

Не совсем так. Просто виндовые dns почти нигде, кроме внутренней сети, не применяются.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от SubGun (ok) on 29-Июл-13, 09:57 
> Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.

Странно, что не ляпнул: "Это сурковская пропаганда"

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от SubGun (ok) on 29-Июл-13, 09:58 
> Впечатляющая производительность и нетребовательность к ресурсам.

jadifa?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

31. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Клыкастый (ok) on 29-Июл-13, 10:07 
> Слюни подотри.

Воробьишко злился-злился, SubGun достал и застрелился :)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Аноним (??) on 29-Июл-13, 10:46 
www.nlnetlabs.nl/blog/2013/07/08/nsd4-tcp-performance/
www.nlnetlabs.nl/blog/2013/07/05/nsd4-performance-measurements/
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от PnD (??) on 29-Июл-13, 11:04 
  Для авторитатива лучше nsd. Никаких рюшек (типа geoip), зато хрен прошибёшь. Единственный косяк - твёрдое следование rfc в 3.х, что в части CNAME откровенно мешает. Подписанные зоны встречаются пока куда реже, чем надобность форварднуть домен "не глядя".
  Где без рюшек никак - берём bind|pdns по вкусу и делегируем им нужный кусок. С pdns возни на старте больше, зато на выходе - вполне шустрый DNS с клиентской мордой.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –2 +/
Сообщение от Stellarwind on 29-Июл-13, 11:49 
тогда уж djbdns сразу
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Михрютка (ok) on 29-Июл-13, 15:40 
самая большая дыра - это наличие за ним пользователя.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

36. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Аноним (??) on 29-Июл-13, 15:56 
да упаси бог !!
в самых страшных кошмарах не приснится такой монстр !
лучше уж страдать в "кирпичном" BIND(хотя десятка это немного перебор).
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

37. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Sabakwaka (ok) on 29-Июл-13, 16:03 
>> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
> О чом вы?

Об отаках, с которыми спровляется RRL.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

38. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Sabakwaka (ok) on 29-Июл-13, 16:06 
http://habrahabr.ru/company/ukrnames/blog/129711/
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Sabakwaka (ok) on 29-Июл-13, 17:28 
Атаке подвержен, вообще-то, любой DNS.
Это проблема индустрии, такая же, как голый SMTP.

DNSSEC надо, однако.
А его, однако, 0,000000000000000000000000000000.00% клиентов может использовать.
Нужна неотключаемая поддержка DNSSEC искаропки на каждом дескпоце.
А ее нет, млеа.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

40. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Dfox on 29-Июл-13, 17:34 
> Об отаках, с которыми спровляется RRL.

Я просто не понимаю по каким критериям вы хотите отлавливать ip для PF и как RRL поможет
спровлятся с подобными атаками.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

41. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +2 +/
Сообщение от Аноним (??) on 29-Июл-13, 17:45 
Это в 1993 был бы хороишй совет. в 2013 - лишь показывает что ты кретин.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

42. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Аноним (??) on 29-Июл-13, 17:48 
> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.

То то я посмотрю весь мир на видновых днс-ах живёт :))))
Это новно из локалки не выпускают даже злобные буратины, а те кому море по колено ужо давно огреьли вою премию Дарвина :)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

43. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Sabakwaka (ok) on 29-Июл-13, 18:54 
>> Я просто не понимаю по каким критериям вы хотите отлавливать
>> ip для PF и как RRL поможет спровлятся с подобными атаками.

Парсим логи БИНДа, находим таймаутные отлупы БИНДа назойливым постоянным клиентам.
Это в 100% — амплификаторы и в 99% — из Китая.
Суём IP, с которых идет амплификация, в PF.

А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Dfox on 29-Июл-13, 19:16 
> А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.

Да для некоторых днс серверов ето вариант, но например сервер который обслужывает домен первого уровня спокойно может отдавать 500 мегабит и зоны там большые, если просчитаться с лимитом запроса
то атакующий просто может подставлять ip днсов крупного провайдера которого просто забанят.
Да и для атаки ето не помеха, просто нужно больше днс серверов подходящих найти.
В итоге с одной стороны как RRL создайот трудности для атаки но по сути они не критичны.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  –1 +/
Сообщение от Sabakwaka (ok) on 30-Июл-13, 00:19 
> 500 мегабит и зоны там большые, если просчитаться с лимитом запроса

Для моего личненького DNS RRL работающее решение.
Как проблему решают корневые организации — не знаю, это их зона ответственности.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."  +/
Сообщение от Anonimous on 03-Авг-13, 12:34 
Просто если ломанут виндовый DNS, то может возникнуть много проблем. Особенно если он AD держит.
А линуховые? Ну ломанули, ну снесли этот линух и откатили из бэкапа. Ломать бессмысленно, ничего важного нет.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру