https://www.opennet.ru/openforum/vsluhforumID3/74943.html В DNS-сервере Bind (http://www.isc.org/software/bind/) обнаружена уязвимость (http://www.isc.org/software/bind/advisories/cve-2011-0414), позволяющая инициировать зависание процесса. Проблема проявляется при интенсивном потоке IXFR-пересылок или DDNS-обновлений - если почти сразу после успешной обработки IXFR-пересылки или DDNS-обновления сервер получит связанный с ними запрос может возникнуть бесконечное зацикливание, при котором обработка всех запросов блокируется. <br><br><br>Пользователям ветки 9.7.x рекомендуется обновить BIND до версии BIND 9.7.3. Ветки BIND 9.4, 9.5, 9.6 и 9.8 уязвимости не подвержены. В качестве временной меры защиты bind может быть запущен в однопоточном режиме (опция "-n1");<br><br>URL: http://www.isc.org/software/bind/advisories/cve-2011-0414<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=29692<br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#24 Fri, 25 Feb 2011 08:45:12 GMT А завтра когда популярность его хоть чуть чуть повысится в нем будут находить <br>по 1 дырке в день.<br>Спасибо кушайте сами, а я лучше погрызу "кактус"(bind)<br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#23 Thu, 24 Feb 2011 21:18:48 GMT <br>&gt; etc/hosts вроде вроде как даже и в seven есть :) <br><br>Уверена, что Вы и сами понимаете, что %system32%\drivers\etc\hosts это для совсем уж SOHO-контор с двумя-тремя виндус-писюками. Не будете же Вы его носить через виндовый puppet, или logon-скрипт в хоть немного большей сети?<br>а внутренний DNS и есть безвелосипедное решение<br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#22 Thu, 24 Feb 2011 16:54:07 GMT &gt; Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил.<br><br>Эти дыры давно закрыли. Конечно, незакрытые дыры есть везде. Но лучше тем, что кода меньше и он проще =&gt; безопаснее.<br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#21 Thu, 24 Feb 2011 13:54:54 GMT &gt; Посмотри Unbound и NSD, детка. Там и безопасность выше, и скорость. А <br>&gt; функциональность та же.<br><br>И чем это у них безопасность лучше ? Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил. <br><br>Unbound:<br>http://secunia.com/advisories/38888/<br>http://secunia.com/advisories/36996/<br><br>NSD:<br>http://secunia.com/advisories/35165/<br>http://secunia.com/advisories/31847/<br>http://secunia.com/advisories/19835/<br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#20 Thu, 24 Feb 2011 10:52:56 GMT Вы случайно не телеведущий с беларуского телевидения?<br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#18 Thu, 24 Feb 2011 10:44:31 GMT &gt;&gt;И весь офис щастлив!<br>&gt; Не подойдет, если часть сервисов находится в офисной локале, под DNAT <br><br>Ну тогда им на...рать на "интенсивный поток IXFR-пересылок или DDNS-обновлений..." <br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#17 Thu, 24 Feb 2011 10:43:56 GMT Только Unbound и NSD!<br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#16 Thu, 24 Feb 2011 10:36:14 GMT &gt;&gt; Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :) <br>&gt; # echo -ne "nameserver 8.8.4.4\nnameserver 8.8.8.8\n" &gt; /etc/resolv.conf <br>&gt; в /etc/dhcpd.conf <br>&gt; option domain-name-servers 8.8.4.4, 8.8.8.8; <br>&gt; И весь офис щастлив!<br><br>Ой-вей и таки ой! А как же таймауты или длительное ожидание ответа? <br> https://www.opennet.ru/openforum/vsluhforumID3/74943.html#15 Thu, 24 Feb 2011 09:02:50 GMT &gt;&gt;И весь офис щастлив!<br>&gt; Не подойдет, если часть сервисов находится в офисной локале, под DNAT на <br>&gt; локальный IP, и нужен локальный DNS, который резолвит DNS по корпоративным <br>&gt; доменам по-другому, в отличие от внешних, которые резолвят на один из <br>&gt; публичных IP офиса.<br>&gt; Кроме того, частенько бывают сервисы, которые вообще извне недоступны, а находятся только <br>&gt; внутри офисной локалки, и извне, или другого офиса конторы к ним <br>&gt; доступ через VPN (или на сервере в датацентре, но все равно <br>&gt; всем подряд не видны) <br><br>etc/hosts вроде вроде как даже и в seven есть :)<br>но осчастливливать гуглу внутренними именами я бы тоже не стал. А выпускать резолвинг из внутренней сетки - вообще немного странно на мой взгляд<br>