Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55042
Опять какой-то вуз постарался?
да не, просто ДЫРЕНИ
СИШНЫЕФрактала на вас нет
Да не, обычный результат работы сишников.
О, специалисты уровня "Hello, world" подтянулись.
Да не, приветмировцы передают пламенные приветы своим тесным миркам всеми доступными языками, а тут просто Си-[фобия, ненависть, зависть, что-нибудь по Фрейду].
Ты правда считаешь, что надо быть специалистом чего-либо, что бы указать на факт дырявости сей? Вся история уязвимостей об этом прямо говорит.
> Ты правда считаешь, что надо быть специалистом чего-либо, что бы указать на
> факт дырявости сей? Вся история уязвимостей об этом прямо говорит.Просто это неосиляторы с кривыми руками писали!
А виноваты в этом только вы и вам подобные!
Вместо того чтобы писать код, пряморуким экспертам все свое свободное время приходится на опеннете защищать Великий Си от непочтительных растаманов и питонистов!
История уязвимостей говорит, что дырявые программисты, я не языки программирования.
> История уязвимостей говорит, что дырявые программисты, я не языки программирования.И? Если проходят десятилетия, а программисты всё равно допускают эти ошибки, значит надо улучшать язык, а не продолжать пенять на несовершенство разума и огребать дыры. У тебя цель-то какая - сделать качественный софт, или доказать всем какие они дураки?
> а программисты всё равно допускают эти ошибки, значит надо улучшать языкСтроители по прежнему через ж-пу штукатурят и крадут блоки. По твоей логике, надо улучшать штукатурку и блоки.
s/крадут/кладут
одно другому не мешает :)
>> а программисты всё равно допускают эти ошибки, значит надо улучшать язык
> Строители по прежнему через ж-пу штукатурят и крадут блоки. По твоей логике,
> надо улучшать штукатурку и блоки.Если улучшение инструментов закономерно приведёт к улучшению результата, то - да, надо. Если у тебя цель получить более качественный дом, а не рассказывать знакомым какие тупые эти строители.
Если тупым дать хороший интрумент, они умнее не станут и продолжат делать плохо. Дай макаке вместо палки-копалки экскаватор и убедись в моих словах.
> Если тупым дать хороший интрумент, они умнее не станут и продолжат делать
> плохо. Дай макаке вместо палки-копалки экскаватор и убедись в моих словах.Тупые - это которые ошибки допускают, правильно понимаю? То есть разработчики линукса - тупые, винды - тупые, софта для космоса - тупые. Короче, все тупые. И? А если сделать инструменты, которые не будут допускать некоторый класс ошибок - это типа чё, несчитово? Я не понимаю, вы тут просто кривляетесь или в самом деле не сильно умные, что бы простые вещи в голове связать?
Ты потерял смысл разговора и не можешь логично мыслить. Сейчас ты докопался до "тупые", потом докапаешься до "макаки", потом до "экскаватора", потом до предлогов в, на, и т.п. Все потому, что не понимаешь, что такое аллегория.Ты про слоника в домене почитай, который менял инструмент и как он с этой заменой обоср-lся. Или он не виноват? Просто смузи вовремя не подвозили в it-отдел? (Это я уже на твоем языке пытаюсь разговаривать).
Смотря какие мотивы. Некоторые люди хотят сделать мир лучше, поэтому они придумывают более надёжные и удобные инструменты вроде Rust. А некоторым болезным хочется дать волю своим комплексам забитых ботанов, поэтому они зубами держатся за сишку, с помощью которой можно тухленько понтоваться "да я, да мы".
> Некоторые люди хотят сделать мир njrcbxyttПоправил, не благодаря. Вы там хоть с памятью работать научились? или до сих пор только сопли и вопли?
Как всегда, коменты от фрактала поражают обилием критинизма и токсичности.
> Некоторые люди хотят сделать мир токсичнее.Поправил, не благодаря. Вы там хоть с памятью работать научились? или до сих пор только сопли и вопли?
Как всегда, коменты от фрактала поражают обилием критинизма и токсичности.
Сори, как всегда, в первый раз раст глюканул, память для переключателя раскладки кончилась.
> Сори, как всегда, в первый раз раст глюканул, память для переключателя раскладки кончилась.Это такой своеобразный камингаут то ли мазохиста, то ли ламериста?
Суровая правда жизни. Факт есть факт.Ламеры растоманы не научились объём памяти определять, но браво всем рассказывают как надо с ней работать.
Хотя у растобоев память короткая. Они свои эпичные косяки быстро забывают.
> Суровая правда жизни. Факт есть факт.
> опять какое-то бла-бла, понты, пафос и ни слова конкретикиОчередное суровое подгорание у бедолаг, которых злые растаманы заставляют пользоваться переключателями раскладки на расте ...
Конечно. Куда нормальным людям до эпических неосиляторов. Так и не осиливших работу спамятью.
> Смотря какие мотивы. Некоторые люди хотят сделать мир лучшеТы очевидно не хочешь.
Сделай мир лучше, выпий йаду
> значит надо улучшать языккастрация помогает в танцах, но не приносит плодов.
зыж
еще есть вопросы про десятилетия?
очередной мерин лет через дцать окочурется, а вы по прежнему будете комментить в новостях про си?
или поумнеете?
> Если проходят десятилетия, а программисты всё равно допускают эти ошибки, значит надо уволить программиста.Поправил.
Язык тут причём? Если за 10 лет человек не освоил язык программирования то гнать такого программиста надо. Эпичных неосиляторов вроде фрактала и ипоно надо вообще стерилизовать и закрывать в подземном бункере.
А как ты заранее определишь, допустит программист ошибку или нет? А если не можешь, получается у тебя всё равно будут дыры. От того, что после появления дыр ты уволишь человека дыра не пропадёт. Комментаторы уровня 5-ти летний ребёнок, откуда вы блин лезете.
>или доказать всем какие они дураки?дайте совет, как дураку доказать, что он дурак? достаточно при этом доказать, что сам не дурак?
А есть какие-нибудь альтернативы BINDырени?
Альтернатив полно, от Powerdns до Dnsmasq и CoreDNS. Конечно же есть ещё и NSD и Unbound, но только тебе решать что подойдёт в твоём конкретном случае.
Пока проги пишет естественный интеллект всегда и везде будутЪ дырени ))
А когда проги будет писать искусственный интеллект до вместо "дыреней" будет просто отдельный "чёрный вход" для самого ИИ - и не уверен что это будет лучше ...
> Пока проги пишет естественный интеллектНо... ЕИ пишет и тот самый ИИ, который потом будет писать проги. Получается, дыры в ИИ будут переложены на проги.
> А есть какие-нибудь альтернативы BINDырени?Trust-dns на расте.
Как и всё на ржавчике - неюзабельное оно! :\
djbdns
Такое чувство, что каждую неделю в нем находят очередную дыру.Кандидат в "самый дырявый продукт".
Популярный просто
Чем популярней - тем дырявей.. прям как в жизни
Используешь для создания рюшечек и сайтов , зарабатываешь и жалуешься что это плохо , бывает. Главное главного редактора банить вовремя что бы жить в не истине зато с деньгами. А , теперь ответь на вопрос когда программа любила такое ? Вот если там удалили что то вырезали это не проблема основного создателя , а твоя прямая однажды ты пропустил возможность проголосовать и сам себя послал в дев нулл
Тестируешь нейросеть?
Чем популярнее - тем активнее дырки ищут же...
да нет, там дело не только в популярности, сколько в самом протоколе, который и изначально нифига не был простым, а обвешан костылями так и вовсе невменяемо (у меня, традиционно, нет никакой проблемы с моими ns - там bind без ненужного ненужно собран), и в том что это - продукт ISC, написанный студотой за зачет. Причем каждое новое поколение второкурсников оказывалось не в силах разобраться с творением предыдущих, и начинало его переписывать заново. С каждым разом все хуже и хуже. (4я-то версия еще была вполне ничего) Последние - вообще на впихоне (но они, кажется, в результате завалили сессию и пошли в макдак на кассу).Ставь винду, там все норм с авторизацией, да и сам сервер вполне ничего так.
Особенно если приходится еще и dhcp использовать.
Вот если надо интеграцию DHCP с DNS - поддержу, лучше божественного винсервера для этого не придумано.
Другое дело, что это нужно в основном в особых случаях эпичного кровавого энтерпрайза.
Угу, например - если этот самый ентер-прайс использует шва...бесплатную версию openshift v4.С модной-современной технологией операционной системы целиком из докеров в докере под докером. Уп-с, оказывается был еще какой-то resolv.conf ? НО у нас же модная-современная операционная система без персистентных конфигов! Ну ничего, зато dhcp умеет создавать его на ходу.
> лучше божественного винсервера для этого не придумано.и с эти людьми я сижу на одном ресурсе. фу.
обработка dhcpd.leases любым скриптом и подсовывание результата в named намного лучше,
чем общение svchost.exe с svchost.exe по RPC или как они там общаются.
в первое я могу вмешаться, во второе - нет.
Очень стильно, очень модно, и очень молодёжно. Вот только такая обработка "любым скриптом" выливается в задержку от подключения до обновления DNS. Обычно пихают в крон, а значит не менее минуты.Я по приколу делал просто вызов скрипта из dhcpd, это несколько проще. Но всё равно, постоянно гонять всю эту связку, регать адрес в бинде - ужасный лютый геморрой. Когда клиентов много, тот ещё ад.
> Очень стильно, очень модно, и очень молодёжно.во как. а меня tyt старпером обзывают, интересуются "видел ли я живых мамонтов".
да, видел. это была ЕС-1045, помню как сейчас.> выливается в задержку от подключения до обновления DNS
кто понял жизнь, тот не спешит.
> регать адрес в бинде
а вот DDNS точно не нужна. либо я не понял системы с ключами и сретификатами (да и не очень-то хотел понимать).
> Пакеты RHEL и ALT Linux собираются без встроенной поддержки SPNEGO.А как же там самый стабильный, самый протестированный и самый ынтерпрайзный дистрибутив debian? Опять пролетает, как с exim?
Чем оно лучше Unbound?
Бинд может обслуживать зону домена, а unbound - только форвардер.Если бинд сравнивать с парой nsd+unbound, то тут уже не в пользу бинда сравнения. И в производительности, и в простоте настройки. Бинд - это такой апач в мире DNS-серверов.
> unbound
> уже не в пользу биндаОчень смешно. Он уже научился хотя бы делать аналог view без костылей?
Bind не надо использовать, он уже давно имеет более качественные альтернативы. И авторитативные, и форвардеры.
Обычные дыры обычных виндопротоколов.
Которые настолько переусложнены, что там без ведра не разберёшься.
> Для пользователей, которым необходима поддержка SPNEGO, рекомендовано использовать внешнюю реализацию, предоставляемую системной библиотекой GSSAPI (предоставляется в MIT Kerberos и Heimdal Kerberos).В венде за это отвечает SSPI.
Вот почему нельзя в Linux запилить и стандартизировать аутентификацию Negotiate одной либой (ну ладно двумя ради diversity), а не тащить недоделанные велосипедные реализации в каждую программу/демон по отдельности. Религия не позволяет?
Так-то Negotiate - это сложный способ аутентифицироваться. Я понимаю, что это не надо в докере, но не докером единым же, блин...
> Вот почему нельзя в Linux запилить и стандартизировать аутентификацию Negotiate одной либой (ну ладно двумя ради diversity)Религия как раз позволяет цвести всем цветам. Если пилить одну реализацию, каждый не сможет делать это не зависимо, придется общаться с другими людьми, а у них экспертное мнение по важным вопросам может отличаться и всё, проект встанет. Менеджера с зарплатой над ними ведь не будет.
Лебедь, рак и щука получается, а не "цветы".
> Лебедь, рак и щука получается, а не "цветы".Ну если заказчика всё устраивает, то и пусть так.
В наивных фантазиях мне казалось, что DNS - это очень простой протокол. Ты его спрашиваешь про имя, а он отвечает циферки, ну или спрашивает другой DNS. Ну или кеширует. Оказалось, что он не прост. Он оказывается этим то интересен и я раньше не понимал даже как работает "почта для домена" Но в непростом то дырки постоянно и находят...
FTP очень прост, но секурного сервера для него так и не сделали. Протокол успел устареть и выйти из употребления.
сделали. Не сделали клиента. Вот вообще ни одного.Потом рассказывали сказки что "устарел". Потом не вышел из употребления (никто тем сказкам так и не поверил) а был прицельно уничтожен гуглем.
А в принципе зачем особенно нужен ftp в браузере? Возможно нужна интеграция, чтобы при клике на ftp: открывался файловый менеджер (или менеджер закачки) с этим сервером, а так мы прикручиваем к браузеру какую-то функциональность, которая для него лишняя, ftp клиент там или менеджер закачки.
Да, на ftp можно (было) делать сайты и показывать веб странички, но эта возможность казалась мне скорее курьёзной.
> Не сделали клиента. Вот вообще ни одного.МирДверьМяч?
https://en.wikipedia.org/wiki/Comparison_of_FTP_client_softw...
найди мне в этой куче мусора хотя бы один, поддерживающий CCC
Засекурили протокол. Сверху навесили SSL, и получился FTPS.
И нет, вопреки всему даже обычный ещё не вышел из употребления.
Что же до секурности серверов - vsftpd, proftpd - на выбор. Да, дыры в них бывают, но дыры бывают везде.
Нет, такой дырявости, как в proftpd - нигде не было и не будет.
vsftpd лучше - но не сильно.FTPS - эзотерика, никем не используется. В основном народ перешел на sftp, который по сути своей SSH. FTP если и используется, то на виртуальных хостингах (в последний раз пользовал виртуальный хостинг более 10 лет назад, а вы?).
> FTPSОно не популярно из-за того что в сетевом оборудовании везде NAT.
NAT не стандартизирован между вендорами сетевого оборудования.
Поверх нестандартного NAT каждый вендор пилит нестандартное решение ALG
FTP в общем случае требует разбора служебного траффика на роутере/файрволе, который реализует NAT
FTPS шифрует и не дает роутеру решать проблему своей реализации NAT своими реализациями ALG.Не спешите только рассказывать про то, что можно порты пробросить/ALG отключить.
У себя вы все сделаете, а у удаленной стороны как?Тем не менее при правильной настрокке он все равно быстрее и надежнее того же SFTP.
> Оно не популярно из-за того что в сетевом оборудовании везде NAT.С PASV оно прекрасно пролазит через большинство NAT, кроме анальных файрволов, которые на выход лимитируют.
И никакого ALG в PASV банально не нужно - просто открытый диапазон портов на сервере.> FTPS шифрует и не дает роутеру
лезть в чужой трафик - очень хорошо.
> У себя вы все сделаете, а у удаленной стороны как?
У себя на сервере я тупо открою группу портов для PASV, и удалённую сторону ничего волновать не будет.
(собственно так оно и сделано. более того, у нас порты открыты только на фронтендах, откуда прокся, разобрав протокол, уже распределяет юзеров по бэкендам)
> (собственно так оно и сделано. более того, у нас порты открыты только
> на фронтендах, откуда прокся, разобрав протокол, уже распределяет юзеров по бэкендам)А наивный-то юзер думает, что его траффик - шифрованный. Ну да, ну да "это другое".
Трафик от юзера до собственно нашей закрытой сервисной сети - шифрованный.
Чего юзеру вполне достаточно, потому что далее данные всё равно хранятся у нас, и он об этом знает.
(сервисная сеть - не паблик, не идёт через паблик, не идёт через арендованные каналы, ага, только собственная оптика, собственный DWDM, и т.д.)
(ну и да, врезка "васяна" в линки этой сети - что в силу используемых DC имеет очень малую вероятность - всё равно в этом плане ничего не даст, потому что от фронтенда до бэкенда тоже SSL)