The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.04.2017 09:24  Обновление DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5 с устранением уязвимостей

Консорциум ISC представил новые выпуски DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5, в которых устранено несколько уязвимостей, позволяющих вызвать отказ в обслуживании, инициировав крах процесса-обработчика через отправку специально оформленного запроса.

  • CVE-2017-3138 - завершение работы процесса named при поступлении от управляющего интерфейса пустой команды (локальный злоумышленник, имеющий доступ для выполнения команд только на чтение, может вывести DNS-сервер из строя, запустив rndc "");
  • CVE-2017-3137 - отправка цепочки пакетов с некорректным следованием полей CNAME и DNAME, в ответ на рекурсивный запрос резолвера, может привести к краху named;
  • CVE-2017-3136 - отправка специально оформленного запроса к серверу, на котором включен DNS64 и активна опция "break-dnssec yes;", может привести к краху процесса-обработчика.


  1. Главная ссылка к новости (https://lists.isc.org/pipermai...)
  2. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  3. OpenNews: Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранением уязвимости
  4. OpenNews: Утверждён переход DNS-сервера BIND на лицензию MPLv2
  5. OpenNews: Выпуск DNS-сервера BIND 9.10.4 и 9.9.9
  6. OpenNews: Обновление DNS-сервера BIND 9.9.6-P2 и 9.10.1-P2 с устранением уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bind, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, нах (?), 11:06, 14/04/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +5 +/
    > вывести DNS-сервер из строя, запустив rndc ""

    п-ц... действительно, воспроизводится. Это не люди писали, это какие-то вообще безмозглые макаки.
    (и дело, разумеется, не в том, что это опасно, а в том, что ну это же полное неумение писать код)

     
     
  • 2.9, Аноним (-), 16:56, 14/04/2017 [^] [ответить]     [к модератору]
  • –1 +/
    клоун Каждый мнит себя экспертом видя бой со стороны с Когда ошибку нашли, ... весь текст скрыт [показать]
     
  • 1.2, моё имя (?), 11:40, 14/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    9.10.3 из состава Debian (testing и unstable) уязвимости CVE-2017-3138 неподвержен. мораль - не спешите обновляться

    root@bar:~# rndc ""
    rndc: '' failed: unknown command

    root@bar:~# rndc status
    version: BIND 9.10.3-P4-Debian <id:ebd72b3>
    boot time: Tue, 28 Mar 2017 20:32:43 GMT
    last configured: Mon, 10 Apr 2017 07:25:26 GMT
    CPUs found: 2
    worker threads: 2
    UDP listeners per interface: 2
    number of zones: 214
    debug level: 0
    xfers running: 0
    xfers deferred: 0
    soa queries in progress: 0
    query logging is ON
    recursive clients: 0/0/1000
    tcp clients: 0/100
    server is up and running

     
     
  • 2.3, arachnid (ok), 11:48, 14/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    а ничего, что это касается 9.10.4?
     
     
  • 3.5, нах (?), 14:41, 14/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > а ничего, что это касается 9.10.4?

    ничего, ничего - видите же, "unknown command", значит "уязвимости не подвержен".

    Никому ведь не придет в голову принести ему на машину клиента от другой версии, не проверяющего что отправляет - или даже вручную скормить пустое место в control socket.

     
     
  • 4.6, arachnid (ok), 16:10, 14/04/2017 [^] [ответить]    [к модератору]  
  • +/
    то есть из того, что прошлая версия не содержит одной из уязвимости следующей версии, следует глубокая мораль, что "не спешите обновляться"? то есть видимо предыдущая версия - образец идеального написания, коя не содержит багов и не подвержена ни одной уязвимости?
     
     
  • 5.8, нах (?), 16:21, 14/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > то есть из того, что прошлая версия не содержит одной из уязвимости следующей версии

    а с чего вы взяли, что она ее не содержит? ;-)

     
     
  • 6.10, arachnid (ok), 17:16, 14/04/2017 [^] [ответить]    [к модератору]  
  • +/
    >> то есть из того, что прошлая версия не содержит одной из уязвимости следующей версии
    > а с чего вы взяли, что она ее не содержит? ;-)

    а это не я решил, а товарищ, на реплику которого я отвечал :)

     
     
  • 7.11, нах (?), 00:18, 15/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > а это не я решил, а товарищ

    товарищу стоило бы проверить, что пустоту параметра проверяет named, а не его версия rndc, на что ему мягко и намекали.
    Ну ладно, я проверил за него - таки named, то есть впрямую этой уязвимости в нем нет, "оптимизацию" командного обработчика добавили после.
    осталось проверить еще две упомянутые в новости, и еще CVE-2016-8864, CVE-2016-2775, 2776, исправленные между 10.3 и 10.4 - которые так легко не проверишь, да и информация открыта далеко не вся. Пожалуй, предоставлю это товарищу.

    P.S. чорт, но бечь-то - куды? В openbsd'шный я не верю.

     
  • 1.4, Аноним (-), 12:12, 14/04/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    сишники как обычно не осилили работу с буфером. больная тема для них
     
     
  • 2.7, Аноним (-), 16:14, 14/04/2017 [^] [ответить]    [к модератору]  
  • +/
    До-о-о-, зато осилили программисты на других языках, написанных сишниками на Си.
     
     
  • 3.12, Лютый жабист__ (?), 08:38, 15/04/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Местные эксперты полагают, что раз днс сервера на той же жабе нет - всё потому ч... весь текст скрыт [показать]
     
     
  • 4.13, Ordu (ok), 08:53, 15/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Кто сколько бабок заплатит?

    Никто и нисколько. Никому не нужен твой днс-сервер на жабе.

     
     
  • 5.16, Лютый жабист__ (?), 11:19, 16/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Да, не удивлюсь если в руководстве сего консорциума считают, решетoобразность бинды - не проблема, тк финансовых потерь нет. Ну подумаешь проломали, поимели итд...

    Тогда действительно не нужен.

     
     
  • 6.20, _ (??), 19:54, 17/04/2017 [^] [ответить]    [к модератору]  
  • +/
    Нет, не по этому. Ненужен потому что этого добра на жаве - уже есть. И что характерно - либо не умеют ничего, либо не соблюдают стандарт (мы выше этого), либо ... ТА_ДАМ! - дырявые напрочь :)))
    Ну а с учётом того что любой твой код - онище, понятно что бабла тебе не видать.  :-р
     
  • 4.14, пох (?), 13:01, 15/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Итого, готов написать безопасный и масштабируемый до любого количества ядер и серверов
    > на жабе.

    пиши.

    > Кто сколько бабок заплатит?

    никто. Вот когда напишешь, когда поднимешь на нем authoritative зон этак на сотню тысяч, или там рекурсор на пол-миллиончика клиентиков (лучше бы, конечно, совместить в одном флаконе, ты ж на жабе пишешь, не на си паршивом, у тебя должно получиться), когда эксплуатацией докажешь, что оно как минимум не хуже bind (никому не нужен твой супер-надежный-непроламываемый сервер, сожравший терабайт памяти и упавший, как это любил делать прекрасный жабий проект жабера, к примеру - только он-то был никому особо не нужен, а вот за навернувшийся ресолвер описанных мной масштабов -  надувать через соломинку любителя жабок будут до характерного чпока) - вот тогда и приходи, либо за donate, либо за грантами на развитие проекта, либо за грантами на новые проекты - у ISC еще кой-что есть в заначке, что тоже очень неплохо бы у него отобрать, и передать в надежные руки умеющих писать надежный софт, а студенты,которых он для этого нанимает, перетопчутся, в макдональдсе не хватает рук.

    Да, про совместимость по axfr/ixfr не забывай, а то эталонного ненужно уже и без тебя понаписали вдосталь.

    А ты думал, оно как-то иначе бывает? Нет, в принципе, бывает, конечно - ищешь инвестора, рисуешь ему план завоевания мира...э...бизнес-план ему рисуешь...но сдаетцца мне, это мишшн импосибл даже для вменяемых, а не жабой-укушенных.

     
     
  • 5.15, Лютый жабист__ (?), 11:16, 16/04/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Ну, вот ты сам признаёшь, что пишет сишную версию студентота. К чему тогда надувание щёк про "никто кроме могучих сишников ниасилит"? Нет денег на прогеров, нет варенья. Также непонятны тезисы про лютую надёжность бинды. Список багов за последние 10 лет посмотри и поплачь.
     
     
  • 6.17, пох (?), 12:00, 16/04/2017 [^] [ответить]     [к модератору]  
  • +/
    это особенность бизнеса isc Все бабки достались эффективным менеджерам и не то... весь текст скрыт [показать]
     
     
  • 7.18, лютый жабист__ (?), 08:16, 17/04/2017 [^] [ответить]    [к модератору]  
  • +/
    >Просвещать тебя, к сожалению, не входит в мой список жизненно важных приоритетов

    Твоё право. Так дальше и буду считать, что DNS проектируется и делается неучами/наркоманами. Юникод, протобафф? Не, не слышали... будем и в 2020 году жить с кошмарного формата текстовичками и прибитой намертво ASCII.

     
     
  • 8.19, пох (?), 13:42, 17/04/2017 [^] [ответить]    [к модератору]  
  • +/
    > Твоё право. Так дальше и буду считать, что DNS проектируется и делается
    > неучами/наркоманами.

    да-да, один ты дартаньян.
    Правда, немного удивляет, почему дартаньяны так и не спроектировали не сделали свой собственный правильный интернет...стоп, как же нет - OSI. Жаль, что в итоге случилось очередное ненужно. Но денег там было попилено, да, немало. Участникам разработок ARPA столько и не снилось. Цель же в этом, а не в том чтобы сделать что-то работающее.

     
  • 4.21, анонЫм (?), 23:31, 23/04/2017 [^] [ответить]    [к модератору]  
  • +/
    напиши не глючный, безопасный, без дЫр андроид, а днс-ами пущай лучше занимаеться софтина на уровне ОС без прокладок
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor