The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

06.01.2010 23:19  Критические уязвимости в DNS-сервере PowerDNS Recursor

В открытом высокопроизводительном DNS-сервере PowerDNS Recursor найдены две критические уязвимости, позволяющие удаленному злоумышленнику через отправку специально оформленного пакета выполнить свой код на сервере и осуществить подстановку данных злоумышленника в кэш DNS сервера.

Уязвимости устранены в релизе PowerDNS Recursor 3.1.7.2, всем пользователям PowerDNS рекомендуется срочно произвести обновление. В настоящий момент ведется подготовка штатных обновлений для Debian, FreeBSD, Gentoo и SUSE, для RHEL/CentOS пакеты с новой версией можно загрузить здесь, а для Ubuntu - здесь. Проблеме подвержен только PowerDNS Recursor (преобразователь имён), авторитетный (Authoritative) сервер PowerDNS уязвимости не затрагивают.

  1. Главная ссылка к новости (http://mailman.powerdns.com/pi...)
  2. OpenNews: Фундаментальная уязвимость в DNS. Рекомендуется срочно обновить BIND
  3. OpenNews: Производительность кэширующего рекурсивного DNS
  4. OpenNews: Анонс PowerDNS Recursor 3.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: PowerDNS, dns, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, terminus, 23:38, 06/01/2010 [ответить] [смотреть все]
  • +1 +/
    Use unbound, Luke! :)
     
     
  • 2.10, Sw00p aka Jerom, 10:40, 07/01/2010 [^] [ответить] [смотреть все]
  • +/
    +1

    ps: пошёл апдейтить рекурсор ))

     
  • 1.2, Аноним, 00:36, 07/01/2010 [ответить] [смотреть все]
  • +/
    а чего с BIND???
     
     
  • 2.6, sHaggY_caT, 02:50, 07/01/2010 [^] [ответить] [смотреть все]
  • +/
    >а чего с BIND???

    Про него ни слова :)

     
     
  • 3.7, shutdown now, 04:12, 07/01/2010 [^] [ответить] [смотреть все]
  • +/
    а вот и про него:
    FreeBSD-SA-10:01.bind                                       Security Advisory
                                                             The FreeBSD Project

    Topic:          BIND named(8) cache poisoning with DNSSEC validation

    Category:       contrib
    Module:         bind
    Announced:      2010-01-06
    Credits:        Michael Sinatra
    Affects:        All supported versions of FreeBSD.
    Corrected:      2009-12-11 01:23:58 UTC (RELENG_8, 8.0-STABLE)
                   2010-01-06 21:45:30 UTC (RELENG_8_0, 8.0-RELEASE-p2)
                   2009-12-11 02:23:04 UTC (RELENG_7, 7.2-STABLE)
                   2010-01-06 21:45:30 UTC (RELENG_7_2, 7.2-RELEASE-p6)
                   2010-01-06 21:45:30 UTC (RELENG_7_1, 7.1-RELEASE-p10)
                   2010-01-06 21:45:30 UTC (RELENG_6, 6.4-STABLE)
                   2010-01-06 21:45:30 UTC (RELENG_6_4, 6.4-RELEASE-p9)
                   2010-01-06 21:45:30 UTC (RELENG_6_3, 6.3-RELEASE-p15)
    CVE Name:       CVE-2009-4022

     
  • 1.3, 123456, 00:55, 07/01/2010 [ответить] [смотреть все]  
  • –3 +/
    а точно у нас в языке есть слово "авторитативный"?
     
     
  • 2.4, Аноним, 01:03, 07/01/2010 [^] [ответить] [смотреть все]  
  • +3 +/
    "Мы здесь таких не любим" (С) South Park
     
  • 1.5, Eter, 01:13, 07/01/2010 [ответить] [смотреть все]  
  • +1 +/
    Отныне существует нулевой уровень :) (с) Мастер Ши Фу
     
     
  • 2.8, shutdown now, 04:34, 07/01/2010 [^] [ответить] [смотреть все]  
  • +1 +/
    это про RAID?
     
  • 1.9, adilm, 09:40, 07/01/2010 [ответить] [смотреть все]  
  • –1 +/
    Use djbdns.
     
     
  • 2.13, anonymous, 23:34, 07/01/2010 [^] [ответить] [смотреть все]  
  • +/
    Это, правда, не о рекурсоре, но на близкую тему...

    У PowerDNS есть чудесное свойство, даже два — работа с БД и фронтенды для пихания данных в эту БД. Например, довольно приятная веб-мордочка PowerDNS on Rails. Попробовав раз возвращаться к текстовым файлам (а у djbdns там еще и препроцессор нужен, чтобы SRV и AAAA-записи пихать) совсем не хочется.

    Тем более, когда речь идет о хостинге, и записи появляются и пропадают сами. Все эти "раз в N минут запустить по крону скрипт чтобы тот посмотрел, и, если надо, обновил конфиг", на которых все живут — это ведь, на самом деле, костыли в чистейшем виде.

    В общем, я это к чему... Вот где взять такое же только с перламутровыми пуговицами, в смысле, для djbdns?

     
     
  • 3.14, Vitaly_loki, 00:28, 08/01/2010 [^] [ответить] [смотреть все]  
  • +/
    http://www.inter7.com/index.php?page=dnsadmin
    не?

    Еще вот тут http://www.lifewithdjbdns.com/ раздел 6.5.1

     
     
  • 4.15, anonymous, 03:14, 08/01/2010 [^] [ответить] [смотреть все]  
  • +/
    >http://www.inter7.com/index.php?page=dnsadmin

    Большое спасибо, но видел. MySQL-only, увы.

    >Еще вот тут http://www.lifewithdjbdns.com/ раздел 6.5.1

    Takes DNS-Info out of the database and creates tinydns' data-file. Т.е. как раз упомянутый выше костыль «файл зоны из БД».

    Разработчики pdns как раз это очень правильно все поняли, и сделали систему бэкендов. Там можно и файл взять, и БД, и, если уж совсем плохо дело, что угодно через пайпу с простым текстовым протоколом подключить.

     
  • 3.16, adilm, 08:33, 08/01/2010 [^] [ответить] [смотреть все]  
  • +/
    >[оверквотинг удален]
    >совсем не хочется.
    >
    >Тем более, когда речь идет о хостинге, и записи появляются и пропадают
    >сами. Все эти "раз в N минут запустить по крону скрипт
    >чтобы тот посмотрел, и, если надо, обновил конфиг", на которых все
    >живут — это ведь, на самом деле, костыли в чистейшем виде.
    >
    >
    >В общем, я это к чему... Вот где взять такое же только
    >с перламутровыми пуговицами, в смысле, для djbdns?

    Ясно все с вами

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor