LINUX.ORG.RU

Множественные уязвимости в DNS


0

0

Исследователями Финского университета Оулу найдены уязвимости в некоторых реализациях протокола DNS, которые могут послужить причиной отказа в обслуживании, либо вызвать удаленное исполнение кода.

Уязвимы:

- DeleGate/9.0.5 (DEVELOPMENT) и более ранние версии;

- DeleGate/8.11.5 (STABLE) и более ранние версии;

- E-series routers производства Juniper Networks;

- pdnsd до версии 1.2.4;

- Все версии BIND;

В настоящий момент CISCO, Sun, Microsoft и другие компании исследуют свою продукцию на наличие в ней уязвимостей. Возможно, список уязвимых систем в скором времени расширится.

>>> Подробности

На самом деле не всё так опасно, в частности, ISC оценило уязвимость в BIND как не несущую большого риска, по крайней мере в BIND, выполнение произвольного кода произойти не может, ошибка может привести только к аварийному завершению named.

anonymous_incognito ★★★★★
()

все дружно останавливаем dns, так, на всякий случай

vadiml ★★★★★
()

>Множественные уязвимости в DNS Мужественные уязвимости в DNS :-)

ip1981 ☆☆
()

Караул! Срочно все записываем IP адрес сервера linux.org.ru! http://217.76.32.61/ :D

anonymous
()
Ответ на: комментарий от anonymous

> Ну вот теперь, наконец-то, винде конец!

вот-вот. улетит на йух с первыми ебилдами

anonymous
()

> - Все версии BIND

Давно уже на всех кеширующих днс ставлю djbdns, и вовсе не от хорошей жизни, просто что BIND, что PDNS (2.9.16 последний пробовал) _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

Casus ★★★★★
()

Как же жить то теперь дальше? Не хочу с бинда уходить, мне на нем хорошо сидится.

Valmont ★★★
()
Ответ на: комментарий от Sikon

>Ну вот теперь, наконец-то, Тырнету конец!

>Sikon (*) (27.04.2006 21:39:45)

-

Когда я увидел новость, придумал кое-что оргинальное и смешное. Оказалось, что это успели придумать до меня (((((

anonymous
()
Ответ на: комментарий от gr_buza

после вот таких вот телодвижений постаивил djbdns и только радуюсь этому

anonymous
()
Ответ на: комментарий от Casus

> _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

попробуй PowerDNS 3 - 2 миллиона записей обслуживает - только в путь.

anonymous
()

Как всегда радует DeleGate...!
Господа! Уже кто-нибудь, таки похвастайтесь у кого он вообще стабильно работает, или когда афтор его будет попрямее писать?

anonymous
()
Ответ на: комментарий от Casus

> просто что BIND, что PDNS (2.9.16 последний пробовал) _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

да, операторы root и tld servers нам не авторитет :)))

ivlad ★★★★★
()

> В настоящий момент CISCO, Sun, Microsoft и другие компании исследуют свою продукцию на наличие в ней уязвимостей. Возможно, список уязвимых систем в скором времени расширится.

Я как-то не совсем понимаю, Microsoft использует этот код?

VictorGr
()
Ответ на: комментарий от Casus

> просто что BIND, что PDNS (2.9.16 последний пробовал) _ПАДАЮТ_, при сколь-нибудь существенной нагрузке.

"Сколько-нибудь" - это какая ?

AS ★★★★★
()
Ответ на: комментарий от baka-kun

> > да, операторы root и tld servers нам не авторитет :)))

> Речь идет про кеширующий (рекурсивный) сервер.

Да и с ним проблем особых нет, если железка адекватная.

AS ★★★★★
()
Ответ на: комментарий от anonymous

>Как всегда радует DeleGate...! Господа! Уже кто-нибудь, таки похвастайтесь у кого он вообще стабильно работает?

Последняя версия 9.1.1 падает постоянно. Но нужен, зараза! Запустил его под управлением supervise из daemon-tools. Теперь работает стабильно :-)

anonymous
()
Ответ на: комментарий от AS

У меня вот только что дамп посмотрел --
за последние 18402846 секунд обработано 3300900767 запросов.
Это 180 запросов в секунду за 212 дней, стало быть в пике в несколько раз больше.

P-III, 512M RAM, и DNS -- не основная задача машины.

Zulu ★★☆☆
()
Ответ на: комментарий от alt0v14

Zulu может у тебя он рекурсивно обрабатывает запросы для всего Интернета?

anonymous
()

/me еще вчера обновил домашний pdnsd ))

dreamer ★★★★★
()
Ответ на: комментарий от AcidumIrae

> >А djbdns как всегда рулит?
>на эту поделку даже не смотрели ;)))

Поделка - это bind, поделка - это powerdns. А djbdns - это руль.
Что толку на него смотреть, если дыр в нем нет и не будет никогда? ;)

anonymous
()
Ответ на: комментарий от anonymous

> Поделка - это bind, поделка - это powerdns. А djbdns - это руль.
> Что толку на него смотреть, если дыр в нем нет и не будет никогда? ;)

Это как неуловимый Джо

Toster
()
Ответ на: комментарий от anonymous

> Поделка - это bind, поделка - это powerdns. А djbdns - это руль. > Что толку на него смотреть, если дыр в нем нет и не будет никогда? ;)

Действительно - зачем дыры искать в одном большом скоплении дыр и backdoor ?

anonymous
()
Ответ на: комментарий от Toster

Да не, DJB рулит, а вот тем кто PDNS и BIND пишут стоит у Бернштейна поучится, у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

anonymous
()
Ответ на: комментарий от anonymous

На счет скопления дыр и бакдоров в DJB ответишь, или так пернул проходя мимо ? Ж)

anonymous
()

Лонг лив DJBDNS !!!!!!!!!

anonymous
()

Эта типа как у Фоменко: Мыши плакали, кололись но продолжали жрать кактус:)(юзать бинд)

last
()
Ответ на: комментарий от anonymous

> Караул! Срочно все записываем IP адрес сервера linux.org.ru! http://217.76.32.61/ :D

У нормальных людей он уже давно записан в /etc/hosts как lor :)

yozhhh ★★★
()
Ответ на: комментарий от anonymous

> у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

AS ★★★★★
()
Ответ на: комментарий от Zulu

> за последние 18402846 секунд обработано 3300900767 запросов.
> Это 180 запросов в секунду за 212 дней, стало быть в пике в несколько раз больше.

> P-III, 512M RAM, и DNS -- не основная задача машины.

Что-то где-то какой-то гон. Если 180 в секунду, это пользователей должно быть несколько тысяч одновременно работающих. При такой сети за DNS, занимающийся посторонними делами надо отрывать что-нибудь.

Сейчас на нашем посмотрел, в текущий момент порядка 80 запросов в секунду.

AS ★★★★★
()
Ответ на: комментарий от anonymous

> у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

Почти 7 лет у меня! Ни единого апгрейда не понадобилось до сих пор.

anonymous
()
Ответ на: комментарий от AS

> Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

Напиши. Будешь вторым. Пока за всю историю написания софта это удалось
только одному человеку. А пока лежите и не 3.14здите ;)

anonymous
()
Ответ на: комментарий от AS

>> Речь идет про кеширующий (рекурсивный) сервер.

> Да и с ним проблем особых нет, если железка адекватная.

Да-да... "Адекватная", особенно зная его привычку всю гадость в рот тянуть, пардон, в оперативку. Аль уже все забыли, что было когда только появились записи *.com, *.net, и прочие *.tld?

baka-kun ★★★★★
()
Ответ на: комментарий от anonymous

> народ тогда вопрос по djbdns, как в нем реализовать функционал view в bind?

Легко реализовать. С января 2001 года работает "из коробки". А в чем проблема?

baka-kun ★★★★★
()
Ответ на: комментарий от AS

это DNS, занимающийся обслуживанием DMZ из ~ 20 серверов. Также он является бэкапным релеем для этих серверов и выполняет еще немного почтовой нагрузки.

Zulu ★★☆☆
()
Ответ на: комментарий от baka-kun

Тогда скорее всего проблема в том что я не могу найти как это реализовать, не могли бы ткнуть в доку в нужном месте, или кусок конфига показать?

anonymous
()
Ответ на: комментарий от anonymous

> Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

Напиши. Будешь вторым. Пока за всю историю написания софта это удалось только одному человеку. А пока лежите и не 3.14здите ;)

Не, было 2, Еще есть создатель TeX, но как их мало(

anonymous
()
Ответ на: комментарий от AS

> у нас все днс на djb, угадай, сколько раз им делался секьюрити апдейт за 4 года ;)

Написать секюрный демон, который делает ровно одну операцию (ну ладно десять) - это не великое достижение. :-)

AS ** (*) (28.04.2006 16:47:52)

Ах ну да, 10 операций, чего же у бинда такие проблемы и откуда, понять не могу

Кстати, хотелось бы видеть Ваши великие достижения, с Высоты которых Вы конечно, можете оценивать поделия какого то Берштейна

anonymous
()
Ответ на: комментарий от Zulu

> это DNS, занимающийся обслуживанием DMZ из ~ 20 серверов.

Откуда тогда такая нагрузка, не сильно понятно. 80 - это порядка 1000 юзеров на диалапе и ХЗ сколько на выделенках. На диалапе он точно первым отдаётся, на выделенках - это уж кто во что горазд. Плюс он сотни три доменов второго уровня обслуживает. Нагрузка от критической очень далеко, то есть 80 - это потому, что больше не просят.

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.