The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.09.2016 10:05  Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранением уязвимости

Консорциум ISC представил новые выпуски DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3, в которых устранена уязвимость (CVE-2016-2776), позволяющая вызвать отказ в обслуживании, инициировав крах процесса-обработчика через отправку специально оформленного запроса. Проблеме подвержены все выпуски BIND ветки 9.x. Уязвимость проявляется даже если запрос поступил с IP-адреса, не имеющего прав отправки запросов и не подпадающего под правила allow-query.

  1. Главная ссылка к новости (https://lists.isc.org/pipermai...)
  2. OpenNews: Утверждён переход DNS-сервера BIND на лицензию MPLv2
  3. OpenNews: Выпуск DNS-сервера BIND 9.10.4 и 9.9.9
  4. OpenNews: Обновление DNS-сервера BIND 9.9.7-P2 и 9.10.2-P3 с устранением уязвимости
  5. OpenNews: Выпуск DNS-сервера BIND 10 1.2.0 ознаменовал передачу проекта сообществу
  6. OpenNews: Сайт консорциума ISC, развивающего BIND и DHCP, подвергся взлому
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bind, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:07, 30/09/2016 [ответить] [смотреть все]
  • –2 +/
    BIND опять привет ISC DHCP и Tea тоже не отвечает качеству и не стоит не долл... весь текст скрыт [показать]
     
     
  • 2.8, пох, 12:47, 30/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    вот потому что ты за них и рубля не заплатил - и не отвечает Смешнее то, что по... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Michael Shigorin, 14:37, 30/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Вас же не затруднит привести пример реализации, за которую следует платить и кот... весь текст скрыт [показать]
     
  • 3.10, Аноним, 14:57, 30/09/2016 [^] [ответить] [смотреть все]  
  • +/
    А powerdns чем не устраивает?
     
     
  • 4.12, Sw00p aka Jerom, 15:05, 30/09/2016 [^] [ответить] [смотреть все]  
  • +/
    > А powerdns чем не устраивает?

    комплекс неосилятора искать альтернативы.

     
  • 3.11, Sw00p aka Jerom, 15:04, 30/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    бред какой-то несёте, никогда не пользовался биндом, nsd unbound, powerdns power... весь текст скрыт [показать]
     
     
  • 4.14, xm, 16:13, 30/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну я, положим, ещё BIND попользовал ещё начиная с 4 версии, но последние годы Un... весь текст скрыт [показать]
     
     
  • 5.23, й, 01:07, 02/10/2016 [^] [ответить] [смотреть все]  
  • +/
    эм, а какой нынче аналог zones в unbound+nsd?
     
  • 1.2, A.Stahl, 10:07, 30/09/2016 [ответить] [смотреть все]  
  • +/
    >BIND 9.9.9

    Надо было 10 версию выпускать. Нынче мода на версию №10.

     
     
  • 2.3, Аноним, 10:09, 30/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В 10 еще больше багов включая и баги DHCP
     
  • 1.4, Michael Shigorin, 10:35, 30/09/2016 [ответить] [смотреть все]  
  • +/
    ping of death
     
     
  • 2.17, iCat, 04:47, 01/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мало кто может не только лишь все Миха, у тебя нет бороды по пояс Может... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Michael Shigorin, 11:31, 01/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    >>ping of death
    > "Мало кто может... не только лишь все" :)

    Технически говоря, эти слова применительно к этой уязвимости у нас произнёс ldv@, но я их тоже помню.

    > Миха, у тебя нет бороды по пояс?

    Не-а.

    > Может быть, ты помнишь ту последовательность символов, которую можно записать
    > в текстовый файл с раширением COM, а потом этот com швыряет комп в ребут?

    У нас на кружке таким другие по большей части занимались с четверть века тому. :)

     
  • 1.5, Аноним, 10:54, 30/09/2016 [ответить] [смотреть все]  
  • –1 +/
    Кто-нибудь в курсе, когда для Debian 7 пофиксят BIND 9 8 https security-track... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 10:57, 30/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –4 +/
    Обновись до Debian 8 или ночнушку Deban 9
     
     
  • 3.13, rt, 15:10, 30/09/2016 [^] [ответить] [смотреть все]  
  • +/
    У вас там в дебиане все дома? Что бы обновить ПО, надо обновить версию ОС??
     
     
  • 4.15, xm, 16:15, 30/09/2016 [^] [ответить] [смотреть все]  
  • +/
    В мире Линукс такое встречается.
     
  • 4.16, Аноним, 03:25, 01/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Естественно, а вы не знали? Они называют это "стабильность".
     
  • 2.18, sv, 11:30, 01/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Решил в своем зоопарке двумя способами:

    1) Вручную собрть и поставить bind со всеми библиотеками и окружением из исходников. Гугл в помощь. Там ничего сложного. Ищите версию, где "pac" используется. Только советую сохранить предварительно из /etc и chroot все, что с ним связано, куда-нибудь - оно потом прекрасно подходит к установленному вручную. Это жесткий такой вариант, зато отвязывает от (... кхм...) немного тормозного и дерганого мэйнтенера пакетов. И я мэйнтенера понимаю. Применения политик дебиан к ортогональным им политикам создателя ПО - жесть жестяная.

    2) Забить на bind и поставить nsd/powerdns или unbound/pdnsd для рекурсора (простейшие подмены и мелкие внутренние зонки в последнем делаются движением левой ноги).

     
     
  • 3.20, Michael Shigorin, 11:42, 01/10/2016 [^] [ответить] [смотреть все]  
  • +/
    > вручную. Это жесткий такой вариант, зато отвязывает от (... кхм...) немного
    > тормозного и дерганого мэйнтенера пакетов. И я мэйнтенера понимаю.

    Надо понимать, что после такого действия локальным майнтейнером остаётесь только Вы, а до него есть шанс помочь майнтейнеру используемого дистрибутива (и другим, помимо себя).

     
     
  • 4.22, sv, 15:20, 01/10/2016 [^] [ответить] [смотреть все]  
  • +/
    А там bind доисторический. Некоторые патчи на него не натянуть почти никак.

    И ортогональность подхода в том, что в debian в пределах релиза будут задницу рвать, а стараться сохранить текущие версии софта, а вот у isc таки ограниченная по времени поддержка веток. Причём в пределах одной точки, п не

     
  • 3.21, Аноним, 12:26, 01/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Все кроме Bind не умеют работать с Samba4 (Active Directory) - BIND_DLZ.
     
  • 1.7, Аноним, 11:11, 30/09/2016 [ответить] [смотреть все]  
  • +/
    На Centos 7 уже прилетело.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor