В DNS-сервере Bind (http://www.isc.org/software/bind/) обнаружена уязвимость (http://www.isc.org/software/bind/advisories/cve-2011-0414), позволяющая инициировать зависание процесса. Проблема проявляется при интенсивном потоке IXFR-пересылок или DDNS-обновлений - если почти сразу после успешной обработки IXFR-пересылки или DDNS-обновления сервер получит связанный с ними запрос может возникнуть бесконечное зацикливание, при котором обработка всех запросов блокируется.
Пользователям ветки 9.7.x рекомендуется обновить BIND до версии BIND 9.7.3. Ветки BIND 9.4, 9.5, 9.6 и 9.8 уязвимости не подвержены. В качестве временной меры защиты bind может быть запущен в однопоточном режиме (опция "-n1");URL: http://www.isc.org/software/bind/advisories/cve-2011-0414
Новость: http://www.opennet.ru/opennews/art.shtml?num=29692
стопицотое подтверждение того, что актуальная версия ПО - лучшая защита.
Скорее, подтверждение того, что следует использовать адекватную замену bind.
+1. Уж мыши кололись-кололись, кололись-кололись. У бинда, вероятно, есть своя ниша, но использовать его в ситуациях, когда нет отряда обслуживающих его товаришей, я бы не стал.
Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :)
> Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :)# echo -ne "nameserver 8.8.4.4\nnameserver 8.8.8.8\n" > /etc/resolv.conf
в /etc/dhcpd.conf
option domain-name-servers 8.8.4.4, 8.8.8.8;
И весь офис щастлив!
Как раз совершенно не провайдеры. Именно поэтому трахаться с биндом смысла нет никакого.
О, как щасслив Гуголь! ;)
и Big Brother тоже ;)
>И весь офис щастлив!Не подойдет, если часть сервисов находится в офисной локале, под DNAT на локальный IP, и нужен локальный DNS, который резолвит DNS по корпоративным доменам по-другому, в отличие от внешних, которые резолвят на один из публичных IP офиса.
Кроме того, частенько бывают сервисы, которые вообще извне недоступны, а находятся только внутри офисной локалки, и извне, или другого офиса конторы к ним доступ через VPN (или на сервере в датацентре, но все равно всем подряд не видны)
>>И весь офис щастлив!
> Не подойдет, если часть сервисов находится в офисной локале, под DNAT на
> локальный IP, и нужен локальный DNS, который резолвит DNS по корпоративным
> доменам по-другому, в отличие от внешних, которые резолвят на один из
> публичных IP офиса.
> Кроме того, частенько бывают сервисы, которые вообще извне недоступны, а находятся только
> внутри офисной локалки, и извне, или другого офиса конторы к ним
> доступ через VPN (или на сервере в датацентре, но все равно
> всем подряд не видны)etc/hosts вроде вроде как даже и в seven есть :)
но осчастливливать гуглу внутренними именами я бы тоже не стал. А выпускать резолвинг из внутренней сетки - вообще немного странно на мой взгляд
> etc/hosts вроде вроде как даже и в seven есть :)Уверена, что Вы и сами понимаете, что %system32%\drivers\etc\hosts это для совсем уж SOHO-контор с двумя-тремя виндус-писюками. Не будете же Вы его носить через виндовый puppet, или logon-скрипт в хоть немного большей сети?
а внутренний DNS и есть безвелосипедное решение
>>И весь офис щастлив!
> Не подойдет, если часть сервисов находится в офисной локале, под DNATНу тогда им на...рать на "интенсивный поток IXFR-пересылок или DDNS-обновлений..."
>> Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :)
> # echo -ne "nameserver 8.8.4.4\nnameserver 8.8.8.8\n" > /etc/resolv.conf
> в /etc/dhcpd.conf
> option domain-name-servers 8.8.4.4, 8.8.8.8;
> И весь офис щастлив!Ой-вей и таки ой! А как же таймауты или длительное ожидание ответа?
Бернштейна не предлагать!
Ага, видели мы эти замены: MaraDNS, PowerDNS и Dnsmasq.В открытом DNS-сервере MaraDNS найдена критическая уязвимость, позволяющая выполнить код на сервере через отправку специально сформированного DNS-запроса (резолвинг имени домена длиннее 254 символов). Статус устранения уязвимости пока неизвестен; http://www.opennet.ru/opennews/art.shtml?num=29402
В открытом высокопроизводительном DNS-сервере PowerDNS Recursor найдены две критические уязвимости, позволяющие удаленному злоумышленнику через отправку специально оформленного пакета выполнить свой код на сервере и осуществить подстановку данных злоумышленника в кэш DNS сервера.
http://www.opennet.ru/opennews/art.shtml?num=24921В пакете Dnsmasq, объединяющем в себе кэширующий DNS прокси и DHCP сервер, обнаружено две уязвимости, позволяющие удаленному злоумышленнику добиться выполнения своего кода.
http://www.opennet.ru/opennews/art.shtml?num=23245В кеширующем резолвере dnscache из состава пакета djbdns подтверждено наличие проблемы безопасности, связанной с некорректной обработкой SOA (Start of Authority) полей, что может быть использовано для увеличение вероятности успешного совершения атаки, направленной на подстановку данных в DNS кеш.
http://www.opennet.ru/opennews/art.shtml?num=20633Особенно комично в этом контексте выглядят такие заявления:
"MaraDNS has a strong security history. For example, MaraDNS has always randomized, using a secure random number generator, the Query ID and source port of DNS queries; and was never vulnerable to the "new" cache poisoning attack."
Посмотри Unbound и NSD, детка. Там и безопасность выше, и скорость. А функциональность та же.
Вы случайно не телеведущий с беларуского телевидения?
> Посмотри Unbound и NSD, детка. Там и безопасность выше, и скорость. А
> функциональность та же.И чем это у них безопасность лучше ? Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил.
Unbound:
http://secunia.com/advisories/38888/
http://secunia.com/advisories/36996/NSD:
http://secunia.com/advisories/35165/
http://secunia.com/advisories/31847/
http://secunia.com/advisories/19835/
> Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил.Эти дыры давно закрыли. Конечно, незакрытые дыры есть везде. Но лучше тем, что кода меньше и он проще => безопаснее.
Вот интересно, а что же тогда адекватная замена бинду? Книжки и толковые руководства пока только под него и написаны. Теряюсь в дагадках.Конечно заметно что с каждым годом оно всё хуже и хуже...
powerdns?
А завтра когда популярность его хоть чуть чуть повысится в нем будут находить
по 1 дырке в день.
Спасибо кушайте сами, а я лучше погрызу "кактус"(bind)
Только Unbound и NSD!