The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление DNS-сервера BIND 9.16.33, 9.18.7 и 9.19.5 c устранением уязвимостей

24.09.2022 05:08

Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.33 и 9.18.7, а также новый выпуск экспериментальной ветки 9.19.5. В новых версиях устранены уязвимости, которые могут привести к отказу в обслуживании:

  • CVE-2022-2795 - при делегировании большого объёма возможно значительное снижение производительности, как следствие, сервер будет не способен обслуживать запросы.
  • CVE-2022-2881 - выход за границы буфера при чтении, что может привести к утечке данных или краху процесса.
  • CVE-2022-2906 - утечки памяти в реализации алгоритма Диффи-Хеллмана с использованием записей TKEY, что может привести к постепенному исчерпанию свободной памяти в системе.
  • CVE-2022-3080 - возможен крах сервера при разрешении в настройках отдачи ответа из устаревшего кэша и параметра stale-answer-client-timeout равного 0.
  • CVE-2022-38177 и CVE-2022-38178 - утечки памяти в коде проверки DNSSEC по алгоритмам ECDSA и EdDSA при неверно указанной длине подписи.


  1. Главная ссылка к новости (https://kb.isc.org/docs/aa-009...)
  2. OpenNews: Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS
  3. OpenNews: Обновление DNS-сервера BIND 9.11.37, 9.16.27 и 9.18.1 c устранением 4 уязвимостей
  4. OpenNews: Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
  5. OpenNews: Обновление DNS-сервера BIND c устранением уязвимости, допускающей удалённое выполнение кода
  6. OpenNews: Ошибка в BIND 9.16.17, приводящая к неверной обработке символа W в DNS-запросах
Автор новости: YetAnotherOnanym
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57824-bind
Ключевые слова: bind
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 05:46, 24/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DoS-уязвимости не так страшно, что-то я не препомню там buffer overflow на запись.
     
  • 1.2, Аноним (2), 08:31, 24/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DNS - дикая фигня, диды не догадались, что нужно шифровать трафик между клиентом и сервером, что в итоге привело к куче решений вроде DoT/DoH/DNSCrypt.
     
     
  • 2.3, Аноним (3), 09:24, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Не предусмотрели, что кто-то будет устраивать митм с целью навредить, и его за это не посадят на вилы.
     
     
  • 3.17, Аноним (-), 15:35, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Да вообще блин, создавали и строили вместо того чтобы ломать-крушить-набигать-нагибать.
     
     
  • 4.20, Аноним (20), 16:28, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Cтроили как раз для того чтобы ломать-крушить-набигать-нагибать (DARPA и все такое). Просто не ожидали, что другие нагибаторы окажутся с ними в одной сети.
     

  • 1.5, пох. (?), 09:37, 24/09/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
     
  • 2.7, annnno (?), 12:04, 24/09/2022 Скрыто модератором
  • +/
     
     
  • 3.9, pin (??), 12:49, 24/09/2022 Скрыто модератором
  • +/
     
     
  • 4.18, Аноним (-), 15:36, 24/09/2022 Скрыто модератором
  • –1 +/
     
  • 3.10, пох. (?), 13:33, 24/09/2022 Скрыто модератором
  • +/
     
     
  • 4.11, Аноним (11), 13:42, 24/09/2022 Скрыто модератором
  • +/
     
     
  • 5.16, мда (?), 15:12, 24/09/2022 Скрыто модератором
  • +/
     
  • 2.12, НяшМяш (ok), 13:57, 24/09/2022 Скрыто модератором
  • +1 +/
     
     
  • 3.15, мда (?), 15:10, 24/09/2022 Скрыто модератором
  • –1 +/
     
     
  • 4.19, Аноним (-), 15:38, 24/09/2022 Скрыто модератором
  • +1 +/
     
  • 2.14, Аноним (14), 15:09, 24/09/2022 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (10)

  • 1.6, лютый ж.... (?), 09:54, 24/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, 9.11.4-26 из центоси 7 не подвержен или уже все забили на ц7?
     
     
  • 2.8, Аноним (8), 12:20, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В el7 по dns почти всё давно протухло, даже dnsmasq свежий затруднительно собрать, остается только powerdns.
     
     
  • 3.13, Аноним (-), 14:37, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а knot2 никак?
     
  • 3.21, Мяу (?), 16:58, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы просто не умеете в сборку, не можете осилить configure && make && make install.
    Всё это dns-говно, что бинд, что маска, что nsd, что yadifa, что knot, что power - собирается под цемент-ос 7 вообще запросто и даже работает. Главное - сесть и собрать последнюю версию. Ну, может ещё пару либов. Но это же не непосильный труд, как вы себе тут нафантазировали.
     
     
  • 4.26, Аноним (8), 22:00, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, не configure & make с развежением помойки, а rpmbuild -bb! Во-вторых сидеть и собирать не у всех есть время и желание, проще раз обновиться на 8-9.
     
     
  • 5.31, Michael Shigorin (ok), 00:43, 26/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В помощь вразумляющим молодёжжж с make install наперевес: http://www.linuxlib.ru/Linux/idealsa.htm (pilot@ впоследствии был главным по ДЦ в яндексе).
     
     
  • 6.32, Аноним (32), 05:01, 26/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Олдскулы свело.
     
  • 4.29, пох. (?), 14:41, 25/09/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нычкуемся, пацанчики - админ локалхоста в треде!

    make install, ага.

    А через неделю в том что ты install - RCE. Но ты об этом еще не в курсе, потому что рассказываешь нам про make install в другом треде.
    Отдельный вопрос - но не для тебя, ты не поймешь - на каком по счету хосте ты потеряешь счет этим мэйкинсталлам и забудешь что-то обновить. (Для админов манйниговых ферм и ботоводов - д-лы, блжад - никто вам не обещал что на всех стоит один и тот же софт - нет, блжад, он разный и его - много. И от того что ты заменишь make install на rpmbuild, не поменяется ровно ничего. Один из ста пакетов ты просто забудешь вовремя обновить.)

     

  • 1.22, Аноним (22), 18:11, 24/09/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В ISC, судя по всему, тоже настоящих сишников нет. Снова то память течёт, то за гарницу буфера вываливается. Закрадывается крамольная мысль, что настоящих сишников и вовсе не существует. За пределами комментов на опеннете, конечно же.
     
     
  • 2.23, антони (?), 18:41, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В ISC как-раз в последние несколько лет качество растет. У них и сишники есть, и хорошая QA команда есть - большинсто этих выявленных ошибок это результат повышения качества тестирования ПО, а не находки из-вне. Фичи тоже появляются, те же DoT, DoH, XoT. Ребята молодцы.
     
     
  • 3.27, Аноним (22), 00:32, 25/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > большинсто этих выявленных ошибок это результат повышения качества тестирования ПО

    Так то настоящие тестировщики натестировали. А кто ж накодил-то эти ошибки все? Как известно, настоящие сишники никогда такой лажи не напороли бы. Выходит либо ненастоящие и туда забрались, либо настоящих и не существует вовсе.

     
     
  • 4.28, trool (?), 02:48, 25/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    1. Там кодовой базе больше 20-и лет.
    2. Програмисты, которые не допускают абсолютно никаких багов, это те которые ничего не пишут.
    3. Программы, где не находятся новые ошибки, это программы которые больше не развиваются.
    4. Постваить в минус то что в программе нашли и починили баги это глупо - если в другой программе ничего не нашли так это может и не искали или им наплевать.
     
     
  • 5.30, пох. (?), 22:23, 25/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1. Там кодовой базе больше 20-и лет.

    Нет. Там кодовую базу принято выкидывать в помойку раз в три года, потому что новые undergraduates не в силах разобрать что там налапшекодили предыдущие, уже получившие свой диплом.

    4, 8 и 9 - три разных проекта не имеющие почти ничего общего (а Слава КПСС вообще не человек), 9 сама по себе несколько раз кусками переписывалась, тут я уже утерял счет этой возне.

    К сожалению, эту хрень пилят по заветам Эви Немет, используя дармовой труд.

    В целом ВСЕ поделки ISC таковы - что их dhcp (тоже кстати переписывали-переписывали да не выписали) по сей день не умеющий даже reload config, что dns, про ужас isc imap человечество как-то уже успело подзабыть.

    > Постваить в минус то что в программе нашли и починили баги это глупо - если в другой программе
    > ничего не нашли так это может и не искали или им наплевать.

    или искать негде - см выше список "мелких недоработочек" в хрустопереписанной альтернативе.

     
  • 2.24, хрю (?), 18:50, 24/09/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну тот же postfix умудряются писать без дыр, так что и за пределами опеннета существуют настоящие сишники. +)
     
     
  • 3.35, Ivan_83 (ok), 17:09, 26/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Речь не про сишников а конкретно про криворучек из ISC.

    Они лет 30+ гнали всякий откровенный шлак, не так давно туда пришли адекватные люди и хотя бы накорябали kiya движок современный, который способен адекватно масштабироватся по ядрам и нагрузке.
    Но видимо там легаси ещё полно осталось.

     
  • 2.34, Ivan_83 (ok), 17:06, 26/09/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже не в восторге от их поделок, но похоже это старое наследство.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру