The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS "  +/
Сообщение от opennews (??), 18-Май-22, 22:48 
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57211

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 18-Май-22, 22:48   +4 +/
Что-то не новость про Bind, так уязвимость.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4

3. Сообщение от Аноним (3), 18-Май-22, 22:54   +4 +/
Так было всегда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 18-Май-22, 23:13   +3 +/
Неофициальное название проекта - BINDырень
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10, #25

5. Сообщение от Аноним (5), 18-Май-22, 23:25   +/
Думаете DoH для вашей безпасности? Такие новости настораживают, напрашивается версия о бэкдоре...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8

6. Сообщение от Аноним (3), 18-Май-22, 23:30   +1 +/
Защита от пакостей человека посередине, ни о какой безопасности речи не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9, #12

7. Сообщение от Аноним (7), 19-Май-22, 00:46   +/
Байнд нужен для того, чтобы свой днс-код было на чём тестировать. Для прода другое используется.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #13

8. Сообщение от Аноним (10), 19-Май-22, 01:22   +/
> Такие новости настораживают, напрашивается версия о бэкдоре...

Аварийное завершение - это не бэкдор, это кривые руки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Аноним (10), 19-Май-22, 01:26   +2 +/
>  Защита от пакостей человека посередине, ни о какой безопасности речи не было.

Я бы переформулировал так

> BIND - это продукт ISC, ни о какой безопасности речи не было.

 

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

10. Сообщение от Аноним (10), 19-Май-22, 01:28   +/
Есть ещё DHCPDырень и NTPDырень. Чуть менее популярны, но тоже регулярно радуют хакеров и пентестеров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15, #28

11. Сообщение от Аноним (10), 19-Май-22, 01:29   +/
В проде, как правило, PowerDNS или Knot. В качестве рекурсивного ещё можно unbound и dnsmasq встретить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20

12. Сообщение от борланд (?), 19-Май-22, 05:57   +1 +/
Dnssec, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17

13. Сообщение от борланд (?), 19-Май-22, 06:00   +/
Тут прям все регистраторы с >100к зон?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #14, #18, #30

14. Сообщение от User (??), 19-Май-22, 06:35   +2 +/
Кришна с тобой! У большинства одна зона в ms dns, domain.local, AD integrated, вот это вот всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от ОноНим (?), 19-Май-22, 07:04   –1 +/
Самая популярная SystemDырень
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #16

16. Сообщение от Аноним (10), 19-Май-22, 09:31   +6 +/
Нет, системда и здесь в пролёте. Даже решeто нормально сделать не могут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19

17. Сообщение от Аноним (10), 19-Май-22, 09:33   +2 +/
DNSSEC, в отличие от DoH, не предоставляет такие богатые возможности для фигерпринтинга, деанонимизации и отслеживания клиента.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #38

18. Сообщение от Аноним (10), 19-Май-22, 09:34   +1 +/
> Тут прям все регистраторы с >100к зон?

Сколько бы их ни было, держать этого жручего и дырявого монстра с жутко кривым конфигом - смысла никакого.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (10), 19-Май-22, 09:50   +/
У профессионалов ISC пинус гораздо длиннее, чем у Лёньки
https://security-tracker.debian.org/tracker/source-package/b...
https://security-tracker.debian.org/tracker/source-package/i...
https://security-tracker.debian.org/tracker/source-package/ntp
vs
https://security-tracker.debian.org/tracker/source-package/s...
(и это при том, что системда содержит в себе демоны для DNS, DHCP и NTP, то есть как бы должна быть жирнее и дырявее всех трёх вместе взятых, но нет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21

20. Сообщение от Онаним (?), 19-Май-22, 10:21   –7 +/
Это когда полторы зоны обслуживается.
А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24, #31

21. Сообщение от rshadow (ok), 19-Май-22, 10:35   +/
Очевидно она содержит клиентов, которые на порядки проще чем серверная часть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #22

22. Сообщение от Аноним (22), 19-Май-22, 11:10   +/
Systemd-resolved может работать как сервер DNS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #23

23. Сообщение от Аноним (10), 19-Май-22, 11:32   +/
И systemd-networkd как сервер DHCP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

24. Сообщение от Аноним (10), 19-Май-22, 11:34   +2 +/
> А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь.

И на windows xp как на серверную систему для прода, да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

25. Сообщение от Andy (??), 19-Май-22, 14:13   +1 +/
Неофициальное название проекта - Buggy Internet Name Daemon
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #29

28. Сообщение от Аноним (28), 19-Май-22, 20:49   +/
Unboundырень же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #36

29. Сообщение от microsoft (?), 19-Май-22, 21:24   +/
Но при этом никто из вас не предложил ни кода, ни аналогов с полной заменой по функционалу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #35, #39

30. Сообщение от Аноним (30), 19-Май-22, 22:58   +/
Такие ребята уже давно пилят какой-то там PowerDNS или что-то вроде того...

А вообще спецификация достаточно простая и за пару вечеров вполне можно сделать свою
реализацию под свой сервис, но как обычно проще жрать пыво ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #33

31. Сообщение от Аноним (7), 19-Май-22, 23:14   +/
Без малого 10 лет был оператором публичного DNS. Зон было куда больше 5 тысяч. Байнд был в роли скрытого мастера, без подключения к публичным сетям. Клиентов обслуживал Knot. А ты написал херню
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #32

32. Сообщение от Онаним (?), 19-Май-22, 23:18   –3 +/
Ды не, ну кто ж вам запрещает пользоваться любимыми дилдо.
У меня и на скрытом мастере BIND (потому что DNSSEC надо где-то хоронить), и на внешних мастерах BIND, и на рекурсорах для клиентов BIND. Порядок числа зон несколько выше, но сопоставим с тем, что вы озвучили. Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #34, #41

33. Сообщение от Онаним (?), 19-Май-22, 23:20   –2 +/
Э нет, современный DNS за пару вечеров не сделаешь. Ну, если не как в жс и прочих крейтоляпах - тяп-тяп васянпакетов, и две строчки кода а-ля DNS.run(); exit 0;
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #37

34. Сообщение от Аноним (10), 19-Май-22, 23:57   +2 +/
> Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось.

Ну, аборигенам Африки тоже как-то необходимости предохраняться не знают.
И детей чем кормить - тоже не знают.
Вопрос: это осознанный выбор, или от недостатка образования?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Аноним (10), 20-Май-22, 00:00   +/
Потому что никому больше в голову не придет такая идиoтская идея - совмещать в одном сервере authoritative и recursive (авторы powerdns по молодости налажали, но потом осознали и распилили). Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #40, #43

36. Сообщение от Аноним (10), 20-Май-22, 00:04   +/
По сравнению с bind - вообще ни о чём, всего десяток дырок.
(2019-25XXX не в счёт, так как эксплуатация невозможна)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

37. Сообщение от Аноним (10), 20-Май-22, 00:08   +/
CoreDNS так и слеплен.
И, заметим, умеет то, что вашему любимому bind-у и не снилось (например, https://coredns.io/plugins/template/ https://coredns.io/plugins/rewrite/)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #45

38. Сообщение от Аноним (38), 20-Май-22, 00:30   +/
Поподробнее про заявленные возможности DoH, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #48

39. Сообщение от Andy (??), 20-Май-22, 15:09   +/
Без проблем - https://cr.yp.to/djbdns.html
Для моих задач его хватает полностью. Но, на вкус и цвет - все фломастеры разные (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

40. Сообщение от Andy (??), 20-Май-22, 15:11   +/
> Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга.

Идея - огонь, но тогда это будет очередное поделие в духе systemd :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #46

41. Сообщение от Аноним (7), 20-Май-22, 16:45   +1 +/
В корпоративном ланчике с айпишечками из rfc1938 DNS можно хоть на винде поднять а
и указом совета директоров запретить его ронять. Я же про публичные депори говорю, там несколько иные приоритеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #42, #44

42. Сообщение от Аноним (7), 20-Май-22, 16:46   +/
s/rfc1938/rfc1918/

Быстрофикс

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

43. Сообщение от Онаним (?), 20-Май-22, 22:46   –2 +/
Так можешь не совмещать.
BIND тем и хорош, в отличие от супового набора смузи-костылей, что легко превращается что в то, что в это.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

44. Сообщение от Онаним (?), 20-Май-22, 22:48   +/
Как вы умудряетесь всё это ронять - мне неведомо.
Паблики на биндах, что рекурсоры, что авторитеты - работают железно уже десятки лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #47

45. Сообщение от Онаним (?), 20-Май-22, 22:50   +/
Осталось только понять, зачем мне в паблике за пределами локалхоста с полутора проектами это может понадобиться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #49

46. Сообщение от Аноним (10), 21-Май-22, 12:12   +/
> Идея - огонь, но тогда это будет очередное поделие в духе systemd :)

Так bind уже давно является таким поделием. Сервером больше, сервером меньше - несколько процентов к объёму кода ничего не решат.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

47. Сообщение от Аноним (10), 21-Май-22, 12:16   +/
Видимо, ваш паблик такой паблик, что на него ни разу не набредал даже пытливый школьник с метасплойтом, не говоря уже о более серьёзных ребятах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

48. Сообщение от Аноним (10), 21-Май-22, 12:19   +/
Все те же самые, что и любого TLS. google://tls+fingreprint

Например: https://habr.com/ru/company/acribia/blog/560168/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

49. Сообщение от Аноним (10), 21-Май-22, 12:21   +/
Подкину вам ещё мысль: а зачем вашим "клиентам" вообще DNS? Пусть айпишники руками вбивают.
А то по доменным именам ходят, как смузихлёбы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #50, #51

50. Сообщение от Онаним (?), 21-Май-22, 13:25   +/
Ну, вот примерно всё у вас так и есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

51. Сообщение от Онаним (?), 21-Май-22, 13:26   +/
(это ж образ мышления такой)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру