URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 91027
[ Назад ]

Исходное сообщение
"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено opennews , 27-Июл-13 23:07

Организация ISC выпустила (https://lists.isc.org/pipermail/bind-announce/2013-July/0008...) экстренные обновления DNS-сервера BIND с устранением уязвимости (CVE-2013-4854), позволяющей инициировать крах процесса named через отправку  запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитативные серверы. Ограничение доступа через ACL не позволяет защититься от проблемы, помочь может только ограничение доступа к сетевому порту на уровне пакетного фильтра. Проблема усугубляется тем, что информация о методе эксплуатации появилась в Сети до выхода исправления и несколько компаний зафиксировали применения уязвимости для атаки на  DNS-серверы.
В настоящий момент уязвимость уже исправлена в выпусках BIND 9.9.3-P2 и 9.8.5-P2, все остальные версии BIND 9, новее ветки 9.6, подвержены атаке. Для BIND 9.7 официальное исправление не выпущено, так как время поддержки данной ветки прекращено, тем не менее уже доступно (http://seclists.org/fulldisclosure/2013/Jul/256) обновление пакетов с BIND 9.7 для Debian. Аналогичное обновление также выпустил (http://www.freebsd.org/security/advisories/FreeBSD-SA-13:07....) проект FreeBSD. RHEL/CentOS, Fedora, SUSE, openSUSE, Ubuntu и другие дистрибутивы Linux обновления на момент написания новости  ещё не выпустили (http://wiki.opennet.ru/SecurityAnnounces).
Отдельно можно отметить объявление (https://www.isc.org/blogs/isc-adds-ddos-defense-module-to-bi.../) о добавлении в состав будущих выпусков BIND модуля  RRL (https://kb.isc.org/article/AA-01000), предоставляющий эффективный механизм для защиты от проведения DDoS-атак с использованием DNS. Речь ведётся не об атаках, направленных на выведение из строя DNS-сервера, а об использовании DNS-серверов для атак на другие системы. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов (исходный трафик приумножается примерно в 100 раз).

Во втором квартале 2013 года частота проведения подобных атак возросла на 20%. При этом в среднем при каждой такой DDoS атаке генерируется трафик порядка 50 млн пакетов в секунду. RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя (заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие). Модуль RRL добавляет поддержку директивы responses-per-second в блок rate-limit, позволяющей задать допустимое число ответов в секунду.

URL: https://lists.isc.org/pipermail/bind-announce/2013-July/0008...
Новость: https://www.opennet.ru/opennews/art.shtml?num=37528

Содержание

Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 23:07 , 27-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 00:00 , 29-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 06:06 , 29-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Михрютка, 15:40 , 29-Июл-13
Опасная уязвимость в DNS-сервере BIND. В состав BIND...,arisu, 23:14 , 27-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND...,Аноним, 01:17 , 28-Июл-13
Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 23:23 , 27-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,kurokaze, 23:47 , 27-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 01:42 , 28-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 07:53 , 28-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,PnD, 11:04 , 29-Июл-13
      - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Stellarwind, 11:49 , 29-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 17:45 , 29-Июл-13
Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 00:24 , 28-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Вонни, 00:52 , 28-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 01:48 , 28-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Вонни, 12:11 , 28-Июл-13
      - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 13:51 , 28-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,SubGun, 09:58 , 29-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 10:46 , 29-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 16:06 , 29-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 23:11 , 28-Июл-13
      - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Вонни, 23:52 , 28-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 15:56 , 29-Июл-13
Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Нанобот, 03:02 , 28-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Dfox, 12:17 , 28-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 15:09 , 28-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Dfox, 09:36 , 29-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 16:03 , 29-Июл-13
      - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Dfox, 17:34 , 29-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 18:54 , 29-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Dfox, 19:16 , 29-Июл-13
        
        Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 00:19 , 30-Июл-13
Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 10:28 , 28-Июл-13
- Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,123, 02:13 , 29-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Led, 02:29 , 29-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,SubGun, 09:57 , 29-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Клыкастый, 09:34 , 29-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,SubGun, 09:55 , 29-Июл-13
      - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Клыкастый, 10:07 , 29-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,SubGun, 09:56 , 29-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Sabakwaka, 17:28 , 29-Июл-13
  - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Аноним, 17:48 , 29-Июл-13
    - Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле...,Anonimous, 12:34 , 03-Авг-13

Сообщения в этом обсуждении

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 27-Июл-13 23:07

самая большая дыра - наличие интернета как такового

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 29-Июл-13 00:00

Ты прям как сталин: "нет того - нет сего"
Тогда вот так "Думайте сами, решайте сами - иметь или не иметь."

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 29-Июл-13 06:06

Самая большая дыра - это наличие у вас компьютера.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Михрютка , 29-Июл-13 15:40

самая большая дыра - это наличие за ним пользователя.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND..."
Отправлено arisu , 27-Июл-13 23:14

«шо, опять?!»

"Опасная уязвимость в DNS-сервере BIND. В состав BIND..."
Отправлено Аноним , 28-Июл-13 01:17

Хорошо еще, что не remote code execution, как в старые добрые времена.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 27-Июл-13 23:23

Обновился :-p

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено kurokaze , 27-Июл-13 23:47

>Обновился :-powerdns
Исправил, не благодари

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 28-Июл-13 01:42

>>Обновился :-powerdns
> Исправил, не благодари
Обновись до powerdns и получи пачку глюков в самых неожиданных местах. Зато зоны в РСУБД, че.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 28-Июл-13 07:53

Не, у меня и powerdns тоже есть. И зоны в файлах как у BIND, powerdns такое умеет, ага.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено PnD , 29-Июл-13 11:04

Для авторитатива лучше nsd. Никаких рюшек (типа geoip), зато хрен прошибёшь. Единственный косяк - твёрдое следование rfc в 3.х, что в части CNAME откровенно мешает. Подписанные зоны встречаются пока куда реже, чем надобность форварднуть домен "не глядя".
Где без рюшек никак - берём bind|pdns по вкусу и делегируем им нужный кусок. С pdns возни на старте больше, зато на выходе - вполне шустрый DNS с клиентской мордой.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Stellarwind , 29-Июл-13 11:49

тогда уж djbdns сразу

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 29-Июл-13 17:45

Это в 1993 был бы хороишй совет. в 2013 - лишь показывает что ты кретин.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 28-Июл-13 00:24

Прекрасно.
А то ЗАДРАЛИ китайцы за последнюю неделю...
Только RRL патч нужно указать при сборке.
По умолчанию отключен.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Вонни , 28-Июл-13 00:52

в nsd все это давно реализовано
--enable-ratelimit      Enable rate limiting
--enable-draft-rrtypes  Enable draft RRtypes.
--with-max-ips=number   Limit on the number of ip-addresses that may be specified

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 28-Июл-13 01:48

>> в nsd все это давно реализовано
Страшновато, блеин, переходить с БИНДа...
Особенно в преддверии подъёма IDN почты...

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Вонни , 28-Июл-13 12:11

>>> в nsd все это давно реализовано
> Страшновато, блеин, переходить с БИНДа...
> Особенно в преддверии подъёма IDN почты...
nginx + nsd = что может быть проще?

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 28-Июл-13 13:51

>>>> в nsd все это давно реализовано
>> Страшновато, блеин, переходить с БИНДа...
>> Особенно в преддверии подъёма IDN почты...
> nginx + nsd = что может быть проще?
Да уже почитал про nsd...
Нужно будет перейти на nsd, конечно.
Впечатляющая производительность и нетребовательность к ресурсам.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено SubGun , 29-Июл-13 09:58

> Впечатляющая производительность и нетребовательность к ресурсам.
jadifa?

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 29-Июл-13 10:46

www.nlnetlabs.nl/blog/2013/07/08/nsd4-tcp-performance/
www.nlnetlabs.nl/blog/2013/07/05/nsd4-performance-measurements/

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 29-Июл-13 16:06

http://habrahabr.ru/company/ukrnames/blog/129711/

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 28-Июл-13 23:11

смотря на что.
если на unbound или djbdns - даже проще. и с ходе миграции и тем более поотом.
если на powerdns или более монструозное - то всякое возможно :(

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Вонни , 28-Июл-13 23:52

Ты про это http://habrahabr.ru/post/178727/
?

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 29-Июл-13 15:56

да упаси бог !!
в самых страшных кошмарах не приснится такой монстр !
лучше уж страдать в "кирпичном" BIND(хотя десятка это немного перебор).

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Нанобот , 28-Июл-13 03:02

>RRL является способом справиться с проблемой на стороне DNS-серверов
мечтать не вредно

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Dfox , 28-Июл-13 12:17

+1

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 28-Июл-13 15:09

>>RRL является способом справиться с проблемой на стороне DNS-серверов
>мечтать не вредно
Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Dfox , 29-Июл-13 09:36

> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
О чом вы?

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 29-Июл-13 16:03

>> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
> О чом вы?
Об отаках, с которыми спровляется RRL.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Dfox , 29-Июл-13 17:34

> Об отаках, с которыми спровляется RRL.
Я просто не понимаю по каким критериям вы хотите отлавливать ip для PF и как RRL поможет
спровлятся с подобными атаками.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 29-Июл-13 18:54

>> Я просто не понимаю по каким критериям вы хотите отлавливать
>> ip для PF и как RRL поможет спровлятся с подобными атаками.
Парсим логи БИНДа, находим таймаутные отлупы БИНДа назойливым постоянным клиентам.
Это в 100% — амплификаторы и в 99% — из Китая.
Суём IP, с которых идет амплификация, в PF.
А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Dfox , 29-Июл-13 19:16

> А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.
Да для некоторых днс серверов ето вариант, но например сервер который обслужывает домен первого уровня спокойно может отдавать 500 мегабит и зоны там большые, если просчитаться с лимитом запроса
то атакующий просто может подставлять ip днсов крупного провайдера которого просто забанят.
Да и для атаки ето не помеха, просто нужно больше днс серверов подходящих найти.
В итоге с одной стороны как RRL создайот трудности для атаки но по сути они не критичны.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 30-Июл-13 00:19

> 500 мегабит и зоны там большые, если просчитаться с лимитом запроса
Для моего личненького DNS RRL работающее решение.
Как проблему решают корневые организации — не знаю, это их зона ответственности.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 28-Июл-13 10:28

какая то детская болезнь .. ИМХО .. чо раньше то, головы где были ?

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено 123 , 29-Июл-13 02:13

Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Led , 29-Июл-13 02:29

> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.
Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено SubGun , 29-Июл-13 09:57

> Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.
Странно, что не ляпнул: "Это сурковская пропаганда"

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Клыкастый , 29-Июл-13 09:34

в венде? дооооо.... они bsd-шный стек, уже готовый, пришпандорить к своей поделке не могли без дырок. фрагментацию пакетов не осилили, позорники. уровень ниже горбатых поделок новичков-программистов.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено SubGun , 29-Июл-13 09:55

Слюни подотри.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Клыкастый , 29-Июл-13 10:07

> Слюни подотри.
Воробьишко злился-злился, SubGun достал и застрелился :)

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено SubGun , 29-Июл-13 09:56

> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.
Не совсем так. Просто виндовые dns почти нигде, кроме внутренней сети, не применяются.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Sabakwaka , 29-Июл-13 17:28

Атаке подвержен, вообще-то, любой DNS.
Это проблема индустрии, такая же, как голый SMTP.
DNSSEC надо, однако.
А его, однако, 0,000000000000000000000000000000.00% клиентов может использовать.
Нужна неотключаемая поддержка DNSSEC искаропки на каждом дескпоце.
А ее нет, млеа.

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Аноним , 29-Июл-13 17:48

> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет
> - а тут только начали натыкаться.
То то я посмотрю весь мир на видновых днс-ах живёт :))))
Это новно из локалки не выпускают даже злобные буратины, а те кому море по колено ужо давно огреьли вою премию Дарвина :)

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."
Отправлено Anonimous , 03-Авг-13 12:34

Просто если ломанут виндовый DNS, то может возникнуть много проблем. Особенно если он AD держит.
А линуховые? Ну ломанули, ну снесли этот линух и откатили из бэкапа. Ломать бессмысленно, ничего важного нет.