A может всё впорядке с серверами, просто у Дениса с головой проблема? :D

>A может всё впорядке с серверами, просто у Дениса с головой проблема? :D

Унылый тролль

Ну всё, интернету теперь точно капец.

Линукс - сила!

nomad.jpg

Срали мы на эти "поизонинги" - у нас свои кеширующие DNS-сервера.

Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

Что за шум?

А в чём выражается уязвимость и чем она грозит?

лол, М$-вцы спалились! а я то думал у них своя супер-ынтерпрайз разработка )

мда.. интересно :) чтоли проапдейтиться везде

> А в чём выражается уязвимость и чем она грозит?

http://www.opennet.ru/opennews/art.shtml?num=16872

решето!

Поправьте новость. Подвержены уязвимости всего 3 линейки продуктов:

Microsoft Windows DNS Server

ISC BIND

BIND version 8

----

BIND версии 9, этой уязвимости не имеет.

----

djbdns как я понял тоже не уязвим, добавьте это к тексту новости, просто это важный момент (его многие для кэши используют).

> BIND версии 9, этой уязвимости не имеет.

http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php

Versions affected: BIND 8 (all versions)
BIND 9 (all versions)
Severity: High

Еще раз для тех, кто в танке: ДАННАЯ УЯЗВИМОСТЬ ЗАТРАГИВАЕТ В ЦЕЛОМ ПРОТОКОЛ DNS, А НЕ ТОЛЬКО ЕГО КОНКРЕТНЫЕ РЕАЛИЗАЦИИ!!!

The basis for the vulnerability is inherent in the DNS protocol and not a flaw specific to BIND9, the leading software implementation of the DNS protocol written and distributed by ISC.

http://www.isc.org/index.pl?/about/press/?pr=2008070800

Весь DNS протокол гавкнулся. Хорошо-э.

В /etc/hosts уязвимости нет!

В ubuntu уже обновление доступно

в генту тоже доступны BIND 9.5.0-P1 и BIND 9.4.2-P1:

http://bugs.gentoo.org/show_bug.cgi?id=231201

Да... этот говяный Интернет стал прогнивать уже. Еще чуть-чуть и ему будет копец. Швеция с их обязательным просмотром траффика да G8 все пилят и пилят. Такой говноинтернет мне не нужен.

Не поддержал традицию, сходил по ссылке. Протестил свой DNS. Был уязвим. Сдела apt-get upgrade. Уязвимость пропала. Debian. :-)

/me в тоске полной. уведомления от сана ещё не было.

DJBDNS не уязвим а значит дело не только в протоколе но и в реализации) живем спокойно, ост латать)

санныч негодует!

> G8 все пилят и пилят.

запилите обратно мои интернеты!

/bind button5+mouse2? Чего такого-то критичного?

>Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Они не тырят код. "Тырить" подразумевает то, что чужое взято без разрешения.

дня 2 назад обновление у дебиана было по поводу bind-а.

> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Гагага. Чтобы слать запросы с одного порта, а не с разных, много кода нужно стырить?

> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код.

Juniper ни сколько не скрывает, что JunOS работает поверх BSD. На роутере и в консоль выйти можно.

> А уж сообществу сделали столько хорошего.

Что касается Cisco и Juniper, надо заметить, что кое что делают таки. Если обратить внимание на списки авторов некоторых RFC...

> DJBDNS не уязвим

А там рекурсор то есть ? :-)

провайдерам — боль головная. а держателей зон на своих серверах это никак не касается.

>этот говяный Интернет стал прогнивать уже.

интернет уже не тот?

>провайдерам — боль головная.

Обновился - и свободен.

>Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

Хорошие художники копируют,
Великие художники воруют! (с) Стив Джобс

Вообщем впечатление двоякое.
Рекомендуется всем обновиться,
но прямо сейчас и сломя голову это делать не обязательно - по крайней мере для BIND9 точно.
Баги эти известны давно.
Использовать их можно, но сложно.
Просто этот товарищ сложил их все месте и сказал, что если у вас кривая реализация со всеми этими багами, то отравить DNS-кеш для ВАС очень просто - не требуется много перебора.

Ну а вообще конечно стоит нарушить традции и сходить по ссылке.
Почитать чего рекомендуется делать для защиты DNS - все по пунктам расписано.

http://www.kb.cert.org/vuls/id/800113
http://www.us-cert.gov/cas/techalerts/TA08-190B.html

>дня 2 назад обновление у дебиана было по поводу bind-а.

дваждую :)

Ну всё, теперь муда^Wхакеры сломают сами себе интернет :)

% echo 'NO_BIND=true' >> /etc/make.conf

Патрик чего то не почесался пока.. пересобрала сама

А смысл на слаке это пересобирать?

> BIND версии 9, этой уязвимости не имеет.

user@server ~ $ rpm -q --changelog bind |head -n 10 * Втр Июн 10 2008 Adam Tkac <atkac redhat com> 9.2.4-28.0.1 <-- (!!!)

- CVE-2008-1447

такой же смысл как и на любом другом дистре - закрыть дыры почешется Патрик - поставлю пакет, а так, пока заменила только /usr/sbin/named

хотя на нем рекурсия итак закрыта была, кроме локальной

если Патрику не надо пересобирать - значит и вам то же. ведь этот фикс должны были синхронно сделать в разных дистрах/для разных железок - значит было время у него подумать и сделать пакет,

>echo 'NO_BIND=true' >> /etc/make.conf

а кавычки то зачем? из любви к шаманству?

я так не думаю, посмотрим в течении нескольких дней версия в списке уязвимых, этого вполне достаточно чтобы считать что она уязвима и принимать меры, а не уповать на майнтейнера и ждать пока соизволят сделать, я могу на декстопе не особенно спешить с обновлениями, хотя Дебиан Ленни вчера уже bind обновлял кажется

да и мне не сложно скачать несколько метров, сделать ./configure && make и скинуть 1 файлик в /usr/sbin ) остальное не так важно

Прочитал. Так толком и не понял как можно испортить кэш у сервера, угадав transaction ID. Найдётся добрая душа, которая объяснит?

ошиблась насчет "вчера"

The following packages have been kept back: libgnomevfs2-bin The following NEW packages will be installed: libdns35{a} The following packages will be upgraded: bind9 bind9-host dnsutils libbind9-30 libisc32 libisccc30 libisccfg30 liblwres30 libvlc0 vlc vlc-nox vlc-plugin-alsa vlc-plugin-esd vlc-plugin-sdl

ну вообщем сегодня уже обновили )

> Вот теперь расскажите как Cisco, Juniper и M$ не тырят BSD'шный код. А уж сообществу сделали столько хорошего.

они его не тырят, они берут по BSD лиценции)))

>а кавычки то зачем? из любви к шаманству?

Из любви к Pascal и Java. Я C/C++ ненавижу. А вы о чём подумали?