The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Проблема с безопасностью в bind"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Проблема с безопасностью в bind"
Сообщение от liks emailИскать по авторуВ закладки on 24-Янв-03, 15:26  (MSK)
У меня стоит на сервере bind 8.*.* Я столкнулся с большими проблемами, связанными с безопасностью. Просканировав сервер на наличие дыр с помощью xspider  одной из уязвимостей была: возможно командная строка или ДОС атака на dns  сервер. Решением её они видят поставить dns сервер высшей версии. Возможно ли сделать что-нибудь не изменяя версии bind? и вообще как можно воспользоваться командной строкой?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Проблема с безопасностью в bind"
Сообщение от killall Искать по авторуВ закладки on 24-Янв-03, 16:44  (MSK)
>У меня стоит на сервере bind 8.*.* Я столкнулся с большими проблемами,
>связанными с безопасностью. Просканировав сервер на наличие дыр с помощью xspider
> одной из уязвимостей была: возможно командная строка или ДОС атака
>на dns  сервер. Решением её они видят поставить dns сервер
>высшей версии. Возможно ли сделать что-нибудь не изменяя версии bind? и
>вообще как можно воспользоваться командной строкой?


Вобщем так. Конечно не стоит буквально понимать все формулировки уязвимостей выводимых в прогах подобного рода, а идти туда где можно почитать об этом более подробно и главное надёжно. Так что тебе сюда: http://www.isc.org/products/BIND/bind-security.html
Потом. Если не обновляться, то извини меня как ты собираешься поддерживать должный уровень защищённости и безопасности сервера? Какой бы не был у тебя 8.x.x ты должен его обновить по крайне мере до версии 8.3.4
Понимаешь ситуация критическая. Все ранние версии содержат не просто уязвимости в самом сервере DNS, но и в библиотеке libbind (кажись так), соотвественно любое приложение использующее эту библиотеку оказывается уязвимым! И чтобы закрыть уязвимость будет мало апгрейда bind, придётся  перелинковать все проги собранные с уязвимой libbind!
Вообще, если поддерживать должный уровень безопасности надо быть параноиком, ежедневно проверять все сообщения касающиеся безопасности по крайне мере того ПО и ОС, которые вертятся у тебя на серверах.
А как "воспользоваться командной строкой" я могу тебе показать, если ты скинешь ip своего DNS-сервера :-) (шутка)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Проблема с безопасностью в bind"
Сообщение от liks emailИскать по авторуВ закладки on 24-Янв-03, 16:49  (MSK)
thank you... почитаю
значит ты предлагаешь обновить библиотеку, если яправильно понял, пожалуйста скажи где взять новую, и в чем в принципе состоит процедура обновления: взять новую и поместить её вместо старой?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Проблема с безопасностью в bind"
Сообщение от killall Искать по авторуВ закладки on 24-Янв-03, 17:37  (MSK)
>thank you... почитаю
>значит ты предлагаешь обновить библиотеку, если яправильно понял, пожалуйста скажи где взять
>новую, и в чем в принципе состоит процедура обновления: взять новую
>и поместить её вместо старой?

Какая Ось, дистрибутив, версия?
Если Линукс тогда самый простой вариант, бежишь на сайт производителя дистрибутива. Ищешь раздел по обновлениям для своей версии дистрибутива. Скачиваешь последний апдейт для bind (rpm-пакеты). И устанавливаешь, что-то типа rpm -Fvh *.rpm (если дистрибутив конечно имеет rpm, у Debian свой тип, как с ним счас не вспомню, но также просто). Ещё проще воспользоваться специальным утилем, типа up2date как в RedHat, там можно обновить дистр полностью одной командой.
В BSD вообще есть такая штука как cvs, объяснить последовательность действий не могу, так как опыта работы с системой не имел (к сожалению)
Более сложный, но универсальный подход. Скачать исходники bind ( ftp://ftp.isc.org/isc/bind/src/8.3.4/bind-src.tar.gz ). Честно скомпилить, скопировать старые конфы и запустить. Весь порядок действий нормально описан в документации, имеющейся вместе с исходниками, надо тока их прочитать. При осторожном подходе можно сохранить старые бинарники, чтобы не нарушить работу системы, если по каким-то причинам не получится завести новый bind.
С библиотекой могут возникнуть сложности, если ты сам в ручную не собирал никакое ПО, которое бы статически линковалось к этой библе, то теоретически в системе нет таких прог, но я могу ошибаться. По крайне мере в документации по любой проге должно быть указано какие библиотеки сторонних разработчиков они использовали в своих разработках. Если таковые имеется, то вероятно их достаточно также просто обновить до current.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Проблема с безопасностью в bind"
Сообщение от liks emailИскать по авторуВ закладки on 29-Янв-03, 16:55  (MSK)
Стоит у меня freebsd 4.*
Проблема в другом, при установки новой версии, обновления, прийдется ли заново конфигурировать или нет?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Проблема с безопасностью в bind"
Сообщение от Avr emailИскать по авторуВ закладки on 13-Фев-03, 13:20  (MSK)
>Стоит у меня freebsd 4.*
>Проблема в другом, при установки новой версии, обновления, прийдется ли заново конфигурировать
>или нет?
Если обновлять через порты после CVSup то ничего перенастраивать не нужно
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру