Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода"	+/–
Сообщение от opennews (?), 18-Фев-21, 10:32
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54611
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Онаним (?), 18-Фев-21, 10:32	+1 +/–
- системы, в настройках которых включено использование GSS-TSIG - BIND сочетается с контроллерами домена Active Directory Мимо, мимо...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #13

2. Сообщение от пох. (?), 18-Фев-21, 10:35	–14 +/–
Да, твои 2019 вне опасносте. Страдать будут лишь васяны, полезшие со своим шва6одным софтом заменять нормальный энтерпрайзный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3, #4, #9, #17

3. Сообщение от Онаним (?), 18-Фев-21, 10:44	+3 +/–
И анально огороженные локалками 2019 вне опасности, и публичные серверы на BIND вне опасности :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

4. Сообщение от Онаним (?), 18-Фев-21, 10:44	+3 +/–
Главное - да, пиво с водкой не мешать :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

5. Сообщение от Аноним (-), 18-Фев-21, 10:46	–4 +/–
Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #8, #18, #32, #40

6. Сообщение от A.Stahl (ok), 18-Фев-21, 10:46	–1 +/–
>пиво с водкой ... мешать Какое варварство. Конечно не мешать: сначала водка, а потом пиво.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

7. Сообщение от Онаним (?), 18-Фев-21, 10:48	+2 +/–
Лет через 100-100500.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Аноним (-), 18-Фев-21, 10:53	+1 +/–
Прежде чем переписывать что то на раст, надо сам раст проверить. А вдруг он вкомпилирует ошибку, тогда много чего придется перекомпилировать. А назад уже дороги не будет, к ламповому С, в котором сам свои ошибки проверять можешь/должен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12, #19

9. Сообщение от Аноним (9), 18-Фев-21, 10:54	+1 +/–
А чего тебя так бомбит от шва6одного софта? Он над тобой надругался?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11

10. Сообщение от нежданчик (?), 18-Фев-21, 11:03	+1 +/–
ну всЁ. меня развезло. даже на opennet'е никому нельзя верить. ZZzzzz....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

11. Сообщение от пох. (?), 18-Фев-21, 11:03	–5 +/–
А чего ж он г-но-то такое?! И ладно б лежал тихо в своей ненужно-нише - лезет же ж "поддерживать" то, чего толком не умеет и не будет. P.S. у меня есть пара 2008R2 с public dns - пока никто не умер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #14, #21, #43

12. Сообщение от InuYasha (??), 18-Фев-21, 11:06	+1 +/–
> сам свои ошибки проверять можешь/должен. Да о чём ты говоришь - каждый второй анон свой русский без чекера проверить не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15, #26

13. Сообщение от InuYasha (??), 18-Фев-21, 11:07	+1 +/–
> при интеграции с Samba. а это уже очень частый случай.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

14. Сообщение от ананим.orig (?), 18-Фев-21, 11:42	+6 +/–
это ты на опеннет пришел, а не наоборот. > P.S. у меня... угу, неуловимый джо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16

15. Сообщение от Страдивариус (?), 18-Фев-21, 11:43	+/–
Чекер, анон - да тут знатоки русского в чатике! Любите Родину, мать вашу!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #30, #58

16. Сообщение от Страдивариус (?), 18-Фев-21, 11:44	+2 +/–
Я вас попрошу! Неуловимый некрофил Джо! 2008R2 в конце концов!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #20

17. Сообщение от Аноним (17), 18-Фев-21, 11:46	+2 +/–
> Страдать будут лишь васяны, полезшие со своим шва6одным софтом > заменять нормальный энтерпрайзный. Ты так говоришь, как будто в винде дыреней не бывает. У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было, при том последний из могикан прошибал ВСЕ, от десятки до икспы. Может и винтукея, просто не проверял никто. Я правда не понимаю как, говорят что снаряд в одну воронку не попадает. А тут раз 5 - в один несчастный lsass, один несчастный протокол? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #22

18. Сообщение от Аноним (17), 18-Фев-21, 11:48	+1 +/–
> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы Они уже переписывали бинд10 на питон. Получилось такое энтерпрайз монстрило, что, кажется, желающих им пользоваться вообще не вылупилось. Могу себе представить что они с хрустом зарелизят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #23

19. Сообщение от Аноним (17), 18-Фев-21, 11:49	+/–
Для начала пусть себе чтоли хоть кодогенератор с оптимизации на расте напишут. А то дергают 60-метровую сиплюсплюсную либу чтобы из растишки код сгенерить - и лечат как плюсы плохи. ХЫ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #57

20. Сообщение от пох. (?), 18-Фев-21, 12:11	–4 +/–
ну так они и работают примерно с того самого 2008го. А поскольку ни разу не шва6одные - апгрейд того - деньгов стоит. Пока там нет страшных и ужасных увизгвимостей в том dns - не вижу никакого смысла платить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #37, #47

21. Сообщение от ford1813 (ok), 18-Фев-21, 12:12	+/–
То есть по вашему в 2008R2 нет уязвимостей? Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют. Хорошо иметь ПО с закрытым кодом, нет необходимости говорить про уязвимости ибо вам про них никто не расскажет, а если никто не расскажет значит и уязвимости нет?)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24

22. Сообщение от пох. (?), 18-Фев-21, 12:22	–1 +/–
> Ты так говоришь, как будто в винде дыреней не бывает. бывают, конечно, только вот конкретно продукты ISC - это полное днище, с самого их появления и до сегодняшних дней. > У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было ничего что это ms rpc? У вас ничего похожего нет и никогда не было. Впрочем - рискнешь ли ты выставить голой сракой наружу обычный, sun rpc? Поводов для этого, надо заметить, поболее будет, поскольку в отличие от ms'овского он застревает в файвроллах. (точнее, бывало, поскольку нынче вымер использовавший его софт, кроме nfs, подпертого кривым костылем) В пресловутые нулевые, когда  появился blast, sun'овский rpc только ленивый не ломал. С тех пор, полагаю, не софт стал качественней, а sun rpc умер вместе с nfs'ами, превратившись в неуловимого джо. Заменившись, кстати, угадай чем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27, #44

23. Сообщение от пох. (?), 18-Фев-21, 12:24	+5 +/–
Вы не понимаете - парадигма переписания на хрусте вообще не предполагает что что-то зарелизят. В этом, безусловно, и кроется секрет успеха, ведь код, который еще нигде не используется, совершенно безопастен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

24. Сообщение от пох. (?), 18-Фев-21, 12:33	+/–
> То есть по вашему в 2008R2 нет уязвимостей? существенных для меня - полагаю, на два порядке меньше чем в коде написанном одноразовыми аспирантами ISC. > Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют. авторы помянутых sasser и blaster как-то обошлись без публикаций (хотя, вероятно, не обошлись без дизассемблирования патчей, поскольку появились эти троянцы именно после, а не до появления соответствующих фиксов)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Michael Shigorin (ok), 18-Фев-21, 13:05	+/–
Предложил правку новости, поскольку: --- --disable-isc-spnego \ --- http://packages.altlinux.org/ru/p9/specfiles/bind Не все дистрибутивы одинаково полезны (ц) PS: хотя на днях даже от астры такая могучая польза на публику вылезла, что ни в сказке сказать, ни пером описать; и я даже сошлюсь на LOR, знакомые с которого её раскопали: http://www.linux.org.ru/news/opensource/16158350
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Michael Shigorin (ok), 18-Фев-21, 13:06	+/–
Нуу "что-то" и лишняя запятая после "будет" (хотя там и авторское тире вполне годится) -- можно было и подсказать. :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

27. Сообщение от Дворник (??), 18-Фев-21, 13:30	+/–
> Заменившись, кстати, угадай чем? SSH-ем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

28. Сообщение от Какаянахренразница (ok), 18-Фев-21, 13:38	+2 +/–
> уязвимость, не исключающая > ... > уязвимость, потенциально способная привести Это как?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #33

29. Сообщение от Онаним (?), 18-Фев-21, 14:04	+/–
ССЗБ - частый случай, да. Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и прочее - куда надёжнее юзать таки божественные 10 и 2019.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #39

30. Сообщение от Онаним (?), 18-Фев-21, 14:06	+/–
Чатик от знатока русского в месте для обмена болтовнёй - тоже так себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

31. Сообщение от Онаним (?), 18-Фев-21, 14:08	+1 +/–
Это untested. Вроде наверное как бы может быть и можно, но механика не вполне очевидна, и поэтому пруфа оф концепта пока не существует. Может да, а может и нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

32. Сообщение от Ordu (ok), 18-Фев-21, 16:39	+/–
> Когда же все перепишут на раст Неформальное движение RiiR получило финансирование от Google: https://security.googleblog.com/2021/02/mitigating-memory-sa... Так что уже скоро. Надо только подождать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

33. Сообщение от Ordu (ok), 18-Фев-21, 16:41	+3 +/–
> Это как? Это исключение из закона исключённого третьего. Доказать, что уязвимость может быть эксплуатирована для выполнения произвольного кода не удалось. И опровергнуть тоже не удалось. Может просто потому, что никто особо не заморачивался. Да и какая нахрен разница?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #36

35. Сообщение от Хартман (?), 18-Фев-21, 17:19	+/–
BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет дыр
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

36. Сообщение от Какаянахренразница (ok), 18-Фев-21, 17:39	+3 +/–
Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже. Как сказал академик Кадыров, "а ты докажи, что не аллах".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #48

37. Сообщение от Имя (?), 18-Фев-21, 18:15	+/–
>Пока там нет страшных и ужасных увизгвимостей в том dns а откуда вы знаете, что их там нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #38, #42

38. Сообщение от Имя (?), 18-Фев-21, 18:16	+/–
пардон, вижу, уже обсудили ниже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от пох. (?), 18-Фев-21, 18:17	+2 +/–
> ССЗБ - частый случай, да. > Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и > прочее - куда надёжнее юзать таки божественные 10 и 2019. вот nfs-то зашибись невендопротокол. А ничего другого у вас - за тридцать лет не родилось. Одни костыли,подпорки и вот, лучший из них - краденая идея сасамбы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #53

40. Сообщение от пох. (?), 18-Фев-21, 18:23	+/–
> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы Вы опять вот неправильно понимаете парадигму раст. Правильно было бы спросить - где уже _переписывают_. Вот, например, здесь: https://github.com/ctz/rustls уже достигли невиданных успехов в хайпе, привлечении внимания и статьях в прессу. А, да. Шифрования там не ищите, им там пресловутый ring занимается. Со всеми вытекающими. Но asn1 парсер - зуб дают, безопастен! Когда-нибудь будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #51

41. Сообщение от пох. (?), 18-Фев-21, 18:26	+/–
> BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет > дыр чего это вдруг? Шиарная стая блох из под powerdns несколько лет назад была вытрясена. Потом, наверное, и правда всем надоело.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #50

42. Сообщение от пох. (?), 18-Фев-21, 18:27	–2 +/–
Визга истеричек не слышу же ж!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

43. Сообщение от Онаним (?), 18-Фев-21, 19:09	+/–
Ну если я пару десятков тысяч доменов публичных на божественную виндузу добавлю - ей сильно поплохеет. Либо мне придётся эту виндузу расплодить в очень большом количестве. Или если я пару сотен тысяч клиентов на неё пущу. ISP, угу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

44. Сообщение от Онаним (?), 18-Фев-21, 19:11	+1 +/–
> ничего что это ms rpc? У вас ничего похожего нет и никогда не было. И никогда не надо. HTTPS+JSON наше всё. Баг в RPC, эксплоит которого впоследствии назвали msblast'ом, кстати я одним из первых обнаружил. Намылил в MS. Через неделю получил ответ "инвестигируем". Ещё через месяц - "да ничего страшного, бежим дальше". Ну и вот. А через полгода вопили все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

45. Сообщение от Аноним (45), 18-Фев-21, 19:23	+/–
А есть аналог bind? Если он с дырками, то должны быть альтернативы, я просто не в теме.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #49

46. Сообщение от СеменСеменыч777 (?), 18-Фев-21, 19:45	+/–
аналогов по фичсету нет. если хочется вот прямо "unbreakable", то есть https://en.wikipedia.org/wiki/Djbdns
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

47. Сообщение от RM (ok), 18-Фев-21, 19:58	+/–
я тоже удивился, как насчет CVE-2020-1350 Remote Code Execution Critical CVE-2021-24078 Remote Code Execution Critical
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

48. Сообщение от Ordu (ok), 18-Фев-21, 20:16	+/–
> Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже. Хыхы, да. Это одна из причин, почему я ратую за отмену закона исключённого третьего: если всё оказывается исключением, то это не исключение, а правило. Скорее надо первые два исключить, потому что они совершенно нереалистичны и встречаются лишь в качестве исключения. Но здесь всё ж ситуация несколько иная. Наличие бага доказано. Не понятен диаметр получившейся дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

49. Сообщение от Хартман (?), 19-Фев-21, 00:16	+/–
BIND практически безальтернативен, так как самый популярный и фитчастый... к слову баги есть в любом DNS сервере, просто в бинде их находят и латают, а в других хер кладут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

50. Сообщение от Хартман (?), 19-Фев-21, 00:18	+1 +/–
PowerDNS второй после бинда по популярности, так что неудиален что его переодически латают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

51. Сообщение от Аноним (51), 19-Фев-21, 01:34	+/–
Да, только хотел сказать, что уже давно пишут, а тут опередил меня. В целом-то использовать или нет старый софт компании сами выбирают. Те которые имеют на своем борту инженеров не только конфигурационных, но и умеющих разрабатывать софт уже делают быстрее, лучше, надежнее и т.д. А вы почему спрашиваете у Вас в компании тоже есть потребность?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #56

52. Сообщение от Аноним (52), 19-Фев-21, 01:38	+4 +/–
Нужно ли это обновлять на десктопе или пох?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

53. Сообщение от СеменСеменыч777 (?), 19-Фев-21, 05:18	–1 +/–
> А ничего другого у вас - за тридцать лет не родилось незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #55

54. Сообщение от Брат Анон (ok), 19-Фев-21, 10:13	+/–
Не знаю. В бубунте у меня прям с утра патч прилетел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

55. Сообщение от пох. (?), 19-Фев-21, 15:12	–1 +/–
>> А ничего другого у вас - за тридцать лет не родилось > незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим). Да там в рот берут все подряд, если это от IBM. Ненужная поделка от CMU, пятое или какое там по счету воплощение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

56. Сообщение от пох. (?), 19-Фев-21, 15:15	+/–
> А вы почему спрашиваете у Вас в компании тоже есть потребность? В хайпе, привлечении внимания и статьях в прессу - нет. Мы не IT компания, наши акции от этого не вырастут. Да и не public они ни разу. А работающий dns сервер у нас и так есть. Не, не bind ни разу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

57. Сообщение от Аноним (57), 19-Фев-21, 20:26	+/–
>риторика "Вы сами" Я тебе больше скажу, они намеренно не хотят с Libc уходить чтобы не писать свою такую же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

58. Сообщение от СеменСеменыч777 (?), 20-Фев-21, 23:31	+/–
> Чекер, анон - а также свитчи, роутеры и фаерволлы. > да тут знатоки русского в чатике! А ТО ! > Любите Родину, мать вашу! когда родина начнет производить свои коммутаторы, машрутизаторы и брандмауэры - тогда можно будет об этом подумать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #59

59. Сообщение от Michael Shigorin (ok), 20-Фев-21, 23:45	+/–
>> Любите Родину, мать вашу! > когда родина начнет производить свои коммутаторы, машрутизаторы > и брандмауэры - тогда можно будет об этом подумать. Русьтелетех и другие; ИВК Кольчуга. Давайте размышлять и радоваться разом, поскольку эта жизнь -- короткая, зараза...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #60

60. Сообщение от СеменСеменыч777 (?), 21-Фев-21, 15:30	+/–
> Русьтелетех и другие; ИВК Кольчуга. я посмотрел. по первому впечатлению - распильщики подфуражечные. на открытом рынке разумеется неконкурентоспособны. на этом все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #61

61. Сообщение от Michael Shigorin (ok), 21-Фев-21, 17:28	+/–
> на открытом рынке разумеется неконкурентоспособны. на этом все. К слову об "отрытом рынке": http://t.me/rufuturism/19937 http://itc.ua/blogs/mariannu-maczczukato-istinnyj-dvigatel-i.../ Sapienti sat.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #62

62. Сообщение от СеменСеменыч777 (?), 22-Фев-21, 15:56	+/–
вскрыватели покровов разоблачили главную тайну силиконовой долины. ой все. а в этой стране силиконовй долины нет и не будет. потому что. вот по теме "как создавалась советская микроэлектроника и Зеленоград" пишут: 1) советский инженер http://lit.lib.ru/g/galxperin_m_p/galperin.shtml 2) несоветский неинженер https://galkovsky.ru/upravda/archive/129.html делайте выводы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #63

63. Сообщение от Fractal cucumber (??), 07-Мрт-21, 21:36	+/–
Че за силиконовая долина такая? Кремниевую знаю, а вот силиконовую... звучит как-то пошло...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема