Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости ([https://www.mail-archive.com/bind-announce@lists.isc.or...) (CVE-2017-3145 (https://security-tracker.debian.org/tracker/CVE-2017-3145)), которую можно использовать для инициирования отказа в обслуживании (крах процесса named) при выполнении рекурсивного запроса к DNS-серверу, подконтрольному злоумышленнику. Проблема проявляется только при работе BIND в качестве резолвера с поддержкой DNSSEC (в качестве обходного пути защиты можно отключить DNSSEC).
Кроме того, в очередном обновлении ISC DHCP также устранена у уязвимость (https://kb.isc.org/article/AA-01541) (CVE-2017-3144 (https://security-tracker.debian.org/tracker/CVE-2017-3144)), которую можно использовать для инициирования отказа в обслуживании (исчерпание доступных сокетов) через наводнение специально оформленными соединениями к OMAPI, которые остаются незакрытыми. В качестве обходного пути защиты можно ограничить доступ к сетевому порту OMAPI.
Разработчики из ISC также опубликовали (https://www.isc.org/blogs/meltdown/) отчёт с результатами тестирования влияния патчей для устранения уязвимости Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856) в ядре Linux (патчи KPTI) на производительность DNS-сервера с BIND 9. Для тестирования использовался сервер Dell R430 с 12-ядерным CPU Xeon E5-2680 v3 и 10-гигабитным Ethernet Intel X710, на который был установлен дистрибутив Fedora 27 с ядром Linux 4.14.11-300.fc27.x86_64. Расхождения в производительности с защитой от
Meltdown и без активации патча оцениваются как несущественные.
URL: https://www.mail-archive.com/bind-announce@lists.isc.or...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47924
Да заbейте на потери производительности. Все равно лучше, чем 10 лет назад. А 10 лет назад мы не страдали.
Если сервер немного старее пары поколений просадка значительная и нужно покупать АМД без просадок!
> Да заbейте на потери производительности.Ну это как посмотреть, на локалхосте конечно незаметно. А на реальных боевых серверах еще как заментно. Например есть у кого нибудь сферический сервер PGSQL на 2х Зионах E2-233322 на многомного ядер, а тут бац и -25% производительности(по данным pgteam) патчем KPTI сняло...
И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...
> И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...nopti же, чай не винда
Надо было назвать "yespwnzormysystemplease" вместо nopti. Чтобы понятнее было.
Да, в винде для того же самого ключ в реестре ставить надо - чай не линукс.
ключ небось называется HKLM/Microsoft/Windows/System/System32/Roaming/Local/Data/NT/4.0/e10575f3-c38e-452f-8723-77dd991381d4, имеет тип HEX и для отключения надо сменить 0xFF на 0xFE по смещению 0x39.
> Но всем по умолчанию...омномномный анал литег, vmlinuz-4.14 nopti ....
10 лет назад мы не страдали, имея софт 10 летней давности.
> 10 лет назад мы не страдали, имея софт 10 летней давности.А без Meltdown-а-то как хорошо-то было-то!
Pentium DIV bug просвистел, пронесло-пронёсся. Не задержался.
https://duckduckgo.com/?q=ignorance+is&t=ffab&iax=images&ia=...
https://www.fsfla.org/~lxoliva/fsfla/singular.en.pdf
Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты, обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не привязаны.
> Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные
> алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо
> изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл
> и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных
> математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты,
> обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не
> привязаны.Обратите внимание - на очередной бред фильтров, и их настройщиков - эти слова являются неприемлимыми!! Первое ладно, а второе уже просто диктатура какая-то. Обычное слово п\о\делка тоже под цензурой. Прямое нарушение свободы слова. Просто пи\c\дец, маразм крепчает.
>...10 лет назад мы не страдали.10 лет назад нагрузочи на DNS были в разы ниже...
На ОДИН СЕРВЕР все было приблизительно также.
> через наводнение специально оформленными соединениямичтобы понять эту фразу, её надо обратно на английский перевести
Сначала с неба посыпалась саранча, потом жабы а после и вовсе специально оформленные соединения. Прогневили админы Верховный Маршрутизатор...
Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем без PTI.
Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем c PTI.
> Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без
> PTI (голубой #1) латентность даже больше, чем c PTI.Да, он так и пишет:
" The first pair of runs (the first done with KPTI, the second without) gave a surprising result – the latency at high query rates was about 8% lower with KPTI than without, when it was expected to be higher! "
Но оно на то и _исследование_, чтобы копать глубже. Исследователь сделал #2, где с PTI медленнее, как и положено, чем без PTI. Нужный результат достигнут, нужные выводы сделаны:
" My conclusion therefore is that some other unidentified variable is responsible for the variability shown, [...] that caused by the Meltdown mitigation patch (KPTI) which in turn appears to be relatively insignificant. "