Множественные уязвимости в DNS

На самом деле не всё так опасно, в частности, ISC оценило уязвимость в BIND как не несущую большого риска, по крайней мере в BIND, выполнение произвольного кода произойти не может, ошибка может привести только к аварийному завершению named.

Ну вот теперь, наконец-то, винде конец!

Ну вот теперь, наконец-то, Тырнету конец!

все дружно останавливаем dns, так, на всякий случай

>Множественные уязвимости в DNS Мужественные уязвимости в DNS :-)

Караул! Срочно все записываем IP адрес сервера linux.org.ru! http://217.76.32.61/ :D

А djbdns как всегда рулит?

> Ну вот теперь, наконец-то, винде конец!

вот-вот. улетит на йух с первыми ебилдами

> - Все версии BIND

Давно уже на всех кеширующих днс ставлю djbdns, и вовсе не от хорошей жизни, просто что BIND, что PDNS (2.9.16 последний пробовал) _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

Как же жить то теперь дальше? Не хочу с бинда уходить, мне на нем хорошо сидится.

Честно? А почему у меня не падают?

>Ну вот теперь, наконец-то, Тырнету конец!

>Sikon (*) (27.04.2006 21:39:45)

-

Когда я увидел новость, придумал кое-что оргинальное и смешное. Оказалось, что это успели придумать до меня (((((

может просто надо меньшему количеству народу options recursion; предоставлять?

в общем, конфиг фстудию.

после вот таких вот телодвижений постаивил djbdns и только радуюсь этому

Plan9 ndb/dns not affected

> _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

попробуй PowerDNS 3 - 2 миллиона записей обслуживает - только в путь.

Как всегда радует DeleGate...!
Господа! Уже кто-нибудь, таки похвастайтесь у кого он вообще стабильно работает, или когда афтор его будет попрямее писать?

> просто что BIND, что PDNS (2.9.16 последний пробовал) _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

да, операторы root и tld servers нам не авторитет :)))

> В настоящий момент CISCO, Sun, Microsoft и другие компании исследуют свою продукцию на наличие в ней уязвимостей. Возможно, список уязвимых систем в скором времени расширится.

Я как-то не совсем понимаю, Microsoft использует этот код?

> да, операторы root и tld servers нам не авторитет :)))

Речь идет про кеширующий (рекурсивный) сервер.

Конечно, мы и сами с усами.

> просто что BIND, что PDNS (2.9.16 последний пробовал) _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

"Сколько-нибудь" - это какая ?

> > да, операторы root и tld servers нам не авторитет :)))

> Речь идет про кеширующий (рекурсивный) сервер.

Да и с ним проблем особых нет, если железка адекватная.

>Как всегда радует DeleGate...! Господа! Уже кто-нибудь, таки похвастайтесь у кого он вообще стабильно работает?

Последняя версия 9.1.1 падает постоянно. Но нужен, зараза! Запустил его под управлением supervise из daemon-tools. Теперь работает стабильно :-)

>А djbdns как всегда рулит?

на эту поделку даже не смотрели ;)))

У меня вот только что дамп посмотрел --
за последние 18402846 секунд обработано 3300900767 запросов.
Это 180 запросов в секунду за 212 дней, стало быть в пике в несколько раз больше.

P-III, 512M RAM, и DNS -- не основная задача машины.

не в кривых ли рученках проблема?

Zulu может у тебя он рекурсивно обрабатывает запросы для всего Интернета?

/me еще вчера обновил домашний pdnsd ))

> >А djbdns как всегда рулит?
>на эту поделку даже не смотрели ;)))

Поделка - это bind, поделка - это powerdns. А djbdns - это руль.
Что толку на него смотреть, если дыр в нем нет и не будет никогда? ;)

> Поделка - это bind, поделка - это powerdns. А djbdns - это руль.
> Что толку на него смотреть, если дыр в нем нет и не будет никогда? ;)

Это как неуловимый Джо

> Поделка - это bind, поделка - это powerdns. А djbdns - это руль. > Что толку на него смотреть, если дыр в нем нет и не будет никогда? ;)

Действительно - зачем дыры искать в одном большом скоплении дыр и backdoor ?

Да не, DJB рулит, а вот тем кто PDNS и BIND пишут стоит у Бернштейна поучится, у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

На счет скопления дыр и бакдоров в DJB ответишь, или так пернул проходя мимо ? Ж)

Лонг лив DJBDNS !!!!!!!!!

Эта типа как у Фоменко: Мыши плакали, кололись но продолжали жрать кактус:)(юзать бинд)

> Караул! Срочно все записываем IP адрес сервера linux.org.ru! http://217.76.32.61/ :D

У нормальных людей он уже давно записан в /etc/hosts как lor :)

народ тогда вопрос по djbdns, как в нем реализовать функционал view в bind?

> у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

> за последние 18402846 секунд обработано 3300900767 запросов.
> Это 180 запросов в секунду за 212 дней, стало быть в пике в несколько раз больше.

> P-III, 512M RAM, и DNS -- не основная задача машины.

Что-то где-то какой-то гон. Если 180 в секунду, это пользователей должно быть несколько тысяч одновременно работающих. При такой сети за DNS, занимающийся посторонними делами надо отрывать что-нибудь.

Сейчас на нашем посмотрел, в текущий момент порядка 80 запросов в секунду.

> у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

Почти 7 лет у меня! Ни единого апгрейда не понадобилось до сих пор.

> Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

Напиши. Будешь вторым. Пока за всю историю написания софта это удалось
только одному человеку. А пока лежите и не 3.14здите ;)

>> Речь идет про кеширующий (рекурсивный) сервер.

> Да и с ним проблем особых нет, если железка адекватная.

Да-да... "Адекватная", особенно зная его привычку всю гадость в рот тянуть, пардон, в оперативку. Аль уже все забыли, что было когда только появились записи *.com, *.net, и прочие *.tld?

> народ тогда вопрос по djbdns, как в нем реализовать функционал view в bind?

Легко реализовать. С января 2001 года работает "из коробки". А в чем проблема?

это DNS, занимающийся обслуживанием DMZ из ~ 20 серверов. Также он является бэкапным релеем для этих серверов и выполняет еще немного почтовой нагрузки.

Тогда скорее всего проблема в том что я не могу найти как это реализовать, не могли бы ткнуть в доку в нужном месте, или кусок конфига показать?

http://cr.yp.to/djbdns/tinydns-data.html

> Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

Напиши. Будешь вторым. Пока за всю историю написания софта это удалось только одному человеку. А пока лежите и не 3.14здите ;)

Не, было 2, Еще есть создатель TeX, но как их мало(

> у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

AS ** (*) (28.04.2006 16:47:52)

Ах ну да, 10 операций, чего же у бинда такие проблемы и откуда, понять не могу

Кстати, хотелось бы видеть Ваши великие достижения, с Высоты которых Вы конечно, можете оценивать поделия какого то Берштейна

> это DNS, занимающийся обслуживанием DMZ из ~ 20 серверов.

Откуда тогда такая нагрузка, не сильно понятно. 80 - это порядка 1000 юзеров на диалапе и ХЗ сколько на выделенках. На диалапе он точно первым отдаётся, на выделенках - это уж кто во что горазд. Плюс он сотни три доменов второго уровня обслуживает. Нагрузка от критической очень далеко, то есть 80 - это потому, что больше не просят.