The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS

18.05.2022 22:37

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены.

В выпуске 9.18.3 также добавлено несколько функциональных улучшений. Добавлена поддержка второй версии каталога зон ("Catalog Zones"), определённой в пятом черновике спецификации IETF. Каталог зон предлагает новый метод поддержания вторичных DNS-серверов, в котором вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача определённого набора вторичных зон. Т.е. настроив трансфер каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, будут автоматически создаваться на вторичном сервере без необходимости правки файлов конфигурации.

В новой версии также добавлена поддержка расширенных кодов ошибок "Stale Answer" и "Stale NXDOMAIN Answer", выдаваемых, когда устаревший ответ возвращён из кэша. В named и dig встроена возможность верификации внешних TLS-сертификатов, что можно использовать для организации строгой или совместной аутентификации на базе TLS (RFC⁣ 9103).

  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Обновление DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1 c устранением 4 уязвимостей
  3. OpenNews: Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
  4. OpenNews: Ошибка в BIND 9.16.17, приводящая к неверной обработке символа W в DNS-запросах
  5. OpenNews: Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
  6. OpenNews: Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57211-bind
Ключевые слова: bind, dns
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (48) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:48, 18/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Что-то не новость про Bind, так уязвимость.
     
     
  • 2.3, Аноним (3), 22:54, 18/05/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так было всегда.
     
  • 2.4, Аноним (4), 23:13, 18/05/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Неофициальное название проекта - BINDырень
     
     
  • 3.10, Аноним (10), 01:28, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ещё DHCPDырень и NTPDырень. Чуть менее популярны, но тоже регулярно радуют хакеров и пентестеров.
     
     
  • 4.15, ОноНим (?), 07:04, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Самая популярная SystemDырень
     
     
  • 5.16, Аноним (10), 09:31, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Нет, системда и здесь в пролёте. Даже решeто нормально сделать не могут.
     
     
  • 6.19, Аноним (10), 09:50, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У профессионалов ISC пинус гораздо длиннее, чем у Лёньки
    https://security-tracker.debian.org/tracker/source-package/bind9
    https://security-tracker.debian.org/tracker/source-package/isc-dhcp
    https://security-tracker.debian.org/tracker/source-package/ntp
    vs
    https://security-tracker.debian.org/tracker/source-package/systemd
    (и это при том, что системда содержит в себе демоны для DNS, DHCP и NTP, то есть как бы должна быть жирнее и дырявее всех трёх вместе взятых, но нет)
     
     
  • 7.21, rshadow (ok), 10:35, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно она содержит клиентов, которые на порядки проще чем серверная часть.
     
     
  • 8.22, Аноним (22), 11:10, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Systemd-resolved может работать как сервер DNS ... текст свёрнут, показать
     
     
  • 9.23, Аноним (10), 11:32, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И systemd-networkd как сервер DHCP ... текст свёрнут, показать
     
  • 4.28, Аноним (28), 20:49, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Unboundырень же
     
     
  • 5.36, Аноним (10), 00:04, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    По сравнению с bind - вообще ни о чём, всего десяток дырок.
    (2019-25XXX не в счёт, так как эксплуатация невозможна)
     
  • 3.25, Andy (??), 14:13, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неофициальное название проекта - Buggy Internet Name Daemon
     
     
  • 4.29, microsoft (?), 21:24, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Но при этом никто из вас не предложил ни кода, ни аналогов с полной заменой по функционалу.
     
     
  • 5.35, Аноним (10), 00:00, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что никому больше в голову не придет такая идиoтская идея - совмещать в одном сервере authoritative и recursive (авторы powerdns по молодости налажали, но потом осознали и распилили). Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга.
     
     
  • 6.40, Andy (??), 15:11, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга.

    Идея - огонь, но тогда это будет очередное поделие в духе systemd :)

     
     
  • 7.46, Аноним (10), 12:12, 21/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Идея - огонь, но тогда это будет очередное поделие в духе systemd :)

    Так bind уже давно является таким поделием. Сервером больше, сервером меньше - несколько процентов к объёму кода ничего не решат.

     
  • 6.43, Онаним (?), 22:46, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Так можешь не совмещать.
    BIND тем и хорош, в отличие от супового набора смузи-костылей, что легко превращается что в то, что в это.
     
  • 5.39, Andy (??), 15:09, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Без проблем - https://cr.yp.to/djbdns.html
    Для моих задач его хватает полностью. Но, на вкус и цвет - все фломастеры разные (с)
     

  • 1.5, Аноним (5), 23:25, 18/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думаете DoH для вашей безпасности? Такие новости настораживают, напрашивается версия о бэкдоре...
     
     
  • 2.6, Аноним (3), 23:30, 18/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Защита от пакостей человека посередине, ни о какой безопасности речи не было.
     
     
  • 3.9, Аноним (10), 01:26, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  Защита от пакостей человека посередине, ни о какой безопасности речи не было.

    Я бы переформулировал так

    > BIND - это продукт ISC, ни о какой безопасности речи не было.

     

     
  • 3.12, борланд (?), 05:57, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Dnssec, не?
     
     
  • 4.17, Аноним (10), 09:33, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    DNSSEC, в отличие от DoH, не предоставляет такие богатые возможности для фигерпринтинга, деанонимизации и отслеживания клиента.
     
     
  • 5.38, Аноним (38), 00:30, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Поподробнее про заявленные возможности DoH, пожалуйста.
     
     
  • 6.48, Аноним (10), 12:19, 21/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все те же самые, что и любого TLS. google://tls+fingreprint

    Например: https://habr.com/ru/company/acribia/blog/560168/

     
  • 2.8, Аноним (10), 01:22, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Такие новости настораживают, напрашивается версия о бэкдоре...

    Аварийное завершение - это не бэкдор, это кривые руки.

     

  • 1.7, Аноним (7), 00:46, 19/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Байнд нужен для того, чтобы свой днс-код было на чём тестировать. Для прода другое используется.
     
     
  • 2.11, Аноним (10), 01:29, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В проде, как правило, PowerDNS или Knot. В качестве рекурсивного ещё можно unbound и dnsmasq встретить.
     
     
  • 3.20, Онаним (?), 10:21, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Это когда полторы зоны обслуживается.
    А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь.
     
     
  • 4.24, Аноним (10), 11:34, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь.

    И на windows xp как на серверную систему для прода, да?

     
  • 4.31, Аноним (7), 23:14, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Без малого 10 лет был оператором публичного DNS. Зон было куда больше 5 тысяч. Байнд был в роли скрытого мастера, без подключения к публичным сетям. Клиентов обслуживал Knot. А ты написал херню
     
     
  • 5.32, Онаним (?), 23:18, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ды не, ну кто ж вам запрещает пользоваться любимыми дилдо.
    У меня и на скрытом мастере BIND (потому что DNSSEC надо где-то хоронить), и на внешних мастерах BIND, и на рекурсорах для клиентов BIND. Порядок числа зон несколько выше, но сопоставим с тем, что вы озвучили. Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось.
     
     
  • 6.34, Аноним (10), 23:57, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось.

    Ну, аборигенам Африки тоже как-то необходимости предохраняться не знают.
    И детей чем кормить - тоже не знают.
    Вопрос: это осознанный выбор, или от недостатка образования?

     
  • 6.41, Аноним (7), 16:45, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В корпоративном ланчике с айпишечками из rfc1938 DNS можно хоть на винде поднять а
    и указом совета директоров запретить его ронять. Я же про публичные депори говорю, там несколько иные приоритеты.
     
     
  • 7.42, Аноним (7), 16:46, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    s/rfc1938/rfc1918/

    Быстрофикс

     
  • 7.44, Онаним (?), 22:48, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы умудряетесь всё это ронять - мне неведомо.
    Паблики на биндах, что рекурсоры, что авторитеты - работают железно уже десятки лет.
     
     
  • 8.47, Аноним (10), 12:16, 21/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо, ваш паблик такой паблик, что на него ни разу не набредал даже пытливый ш... текст свёрнут, показать
     
  • 2.13, борланд (?), 06:00, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тут прям все регистраторы с >100к зон?
     
     
  • 3.14, User (??), 06:35, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кришна с тобой! У большинства одна зона в ms dns, domain.local, AD integrated, вот это вот всё.
     
  • 3.18, Аноним (10), 09:34, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Тут прям все регистраторы с >100к зон?

    Сколько бы их ни было, держать этого жручего и дырявого монстра с жутко кривым конфигом - смысла никакого.

     
  • 3.30, Аноним (30), 22:58, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Такие ребята уже давно пилят какой-то там PowerDNS или что-то вроде того...

    А вообще спецификация достаточно простая и за пару вечеров вполне можно сделать свою
    реализацию под свой сервис, но как обычно проще жрать пыво ...

     
     
  • 4.33, Онаним (?), 23:20, 19/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Э нет, современный DNS за пару вечеров не сделаешь. Ну, если не как в жс и прочих крейтоляпах - тяп-тяп васянпакетов, и две строчки кода а-ля DNS.run(); exit 0;
     
     
  • 5.37, Аноним (10), 00:08, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    CoreDNS так и слеплен.
    И, заметим, умеет то, что вашему любимому bind-у и не снилось (например, https://coredns.io/plugins/template/ https://coredns.io/plugins/rewrite/)
     
     
  • 6.45, Онаним (?), 22:50, 20/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось только понять, зачем мне в паблике за пределами локалхоста с полутора проектами это может понадобиться.
     
     
  • 7.49, Аноним (10), 12:21, 21/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Подкину вам ещё мысль: а зачем вашим "клиентам" вообще DNS? Пусть айпишники руками вбивают.
    А то по доменным именам ходят, как смузихлёбы.
     
     
  • 8.50, Онаним (?), 13:25, 21/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вот примерно всё у вас так и есть ... текст свёрнут, показать
     
  • 8.51, Онаним (?), 13:26, 21/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    это ж образ мышления такой ... текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру