LINUX.ORG.RU

BIND 9 DNS Cache Poisoning, но не в OpenBSD


0

0

Разработчик OpenBSD Jakob Schlyter ответил на вопрос, тревожащий умы многих пользователей ЛОРа — как при использовании одних и тех же программ, в OpenBSD всё равно удаётся достичь большей безопасности по сравнению с другими системами?

Всё дело в том, что, например, при импортировании новых программ в базовую систему, всегда проводится анализ на их безопасность. В ходе такого анализа, при импортировании BIND 9 было изначально решено изменить одну из опций, которая была установлена по умолчанию.

В результате, когда пользователи других систем сегодня вынуждены обновлять свой BIND 9 любой версии на BIND 9.2.8-P1, BIND 9.3.4-P1, BIND 9.4.1-P1 или BIND 9.5.0a6, пользователи OpenBSD идут за пивом.

>>> Подробности на undeadly

★★★

Проверено: Shaman007 ()
Ответ на: комментарий от sdio

> Какой пафос!

Не вижу пафоса. Ребята из команды разработчиков OpenBSD действительно проделывают большую работу, анализируя исходники на предмет уязвимостей.

Респект!

grad
()

а в марте сего года пользователи OpenBSD тоже пиво пили?

"Several versions of the OpenBSD OS contain flaws related to processing IPv6 packets. Researchers at Core Security Technologies Inc. identified the affected versions as 3.1, 3.6, 3.8, 3.9, 4.0, and 4.1.

The vulnerability is exploited by sending a fragmented IPv6 packet to the target system. This can cause a buffer overflow condition."

geek ★★★
()
Ответ на: комментарий от geek

geek, хватит троллить и провоцировать.

То, что где-то есть ошибки в работе IPv6, для подавляющего большинства людей, ошибкой не является. Просто потому, что народ сидит на IPv4.

stellar
()

Очень жаль, что разработчики других систем не настолько серьезно подходят к вопросам безопасности, как ребята из OpenBSD.

stellar
()

Пользователь Линукса сладкр зевнул, и продолжил колбасить WAS Startup Bean под эклипсой.

anonymous
()

Свое нормальное (ядро) написать не могут, хоть чужие программы поанализируют. Определенно, от OpenBSD есть польза.

dm1024 ★★★
()

>>...В ходе такого анализа, при импортировании BIND 9 было изначально решено изменить одну из опций, которая была установлена по умолчанию. В результате, когда пользователи других систем сегодня вынуждены обновлять свой BIND 9 любой версии на BIND 9.2.8-P1, BIND 9.3.4-P1, BIND 9.4.1-P1 или BIND 9.5.0a6, пользователи OpenBSD идут за пивом.

Прикольная аргументация. Пользователи систем как бы не читают докоффф. У них вишь ли все опции по умолчанию. И выводы далеко идущие. ИМХО степень защищенности системы напрямую зависит от мозга защищающего.

anonymous
()
Ответ на: комментарий от stellar

>geek, хватит троллить и провоцировать.

пистеть команды не было. На каждое заявление бздунов о безошибочности - найдется кучка говна, куда их можно ткнуть рылом

geek ★★★
()

>...ответил на вопрос, тревожащий умы многих пользователей ЛОРа

Оййй...всю неделю не сплю, понос, рвота...и все из за того что меня тревожит этот вопрос...

:D

iron ★★★★★
()
Ответ на: комментарий от anonymous

> Well, your all can troll a bit more......but YOU have to patch this bug, NOT me!

Непонятно как-то. Если это реальная бага в коде, то патчить её надо независимо от того включена опция или нет. Вдруг придётся включить? Или всё-таки защищённость OpenBSD базируется не только на правке конфигов?

Anoxemian ★★★★★
()
Ответ на: комментарий от geek

>На каждое заявление бздунов о безошибочности - найдется кучка говна, куда их можно ткнуть рылом

Всё познаётся в сравнении, вот и сравни разные ОС и увидишь, где эта куча больше. Потом приведи результаты сравнения, чтобы перестать быть голословным, а то уже правительственные дебаты напоминает, чесслово..

kranky ★★★★★
()
Ответ на: комментарий от crazygoogle

> Лучше бы автор новости научился изясняться :)

А это не в первый раз. ОпенБЗД'шники постоянно свои новости весело приподносят, и, имхо, это помогает.

Или ты предпочтешь, чтоб тебе новость изложил "менеджер румяным ...."?

cascade
()

Прикольная новость - разработчик OpenBSD похвалил сам себя :)

А пользователи других систем не обновляются, а просто меняют одну опцию в конфиге и продолжают пить пиво

lester ★★★★
()
Ответ на: комментарий от Tester

Bind - системообразующий софт, используемый в мире Юникса. И очень хорошо, что его безопасностью занимается команда Тео. За что им очень многие скажут спасибо, в отличие от линупсоидов, прикручивающих новомодные перделки к ядру.

Sun-ch
()

Debian Etch, bind9 обновился (http://security.debian.org)
Обновление заняло 20сек. Ну как за пивом сходить успели?

sdio ★★★★★
()

Я позавчера сделал yum update и тоже пошёл за пивом^Wкефиром.

birdie ★★★★★
()
Ответ на: комментарий от Sun-ch

> Bind - системообразующий софт...

Был когда-то давным давно. Что bind какашка я уже 5 лет как в курсе, и для кеширования он просто непригоден. djbdns работает устойчиво, в отличии от, и ошибок там давно не было. Для authorized сейчас очень хорошо подходит power dns. В общем, как обычно, нет bind -- нет проблемы.

Casus ★★★★★
()

гыгы, у меня как рекурсор djbdns, пойду пивка тож хлебну

borisych ★★★★★
()
Ответ на: комментарий от Grindz

> Кто то ревльно это юзает на десктопах?

bind? Я использую. Как-то по привычке настроил его в кеширующем режиме. ;-)

atrus ★★★★★
()

Да, действительно сложно пересобрать по спеку новый bind и поставить. Просто неподьемная работа.

Valmont ★★★
()
Ответ на: комментарий от Tester

Это называется не "вранье", а неточность. Информация имеет свойство устаревать и к тому же не факт, что на википедии просто прям самая свеже-точная инфа.

Valmont ★★★
()
Ответ на: комментарий от vtVitus

> Ошибка на bind опасная ? Выполнение кода или отказ ? Что-то я понять не могу.

Очень опасная. Вызывает отказ сходить за пивом.

Lumi ★★★★★
()
Ответ на: комментарий от Valmont

> Информация имеет свойство устаревать и к тому же не факт, что на
> википедии просто прям самая свеже-точная инфа.

Если там не свежая информация, то процент не-бинд серверов еще выше.
Разнообразить софт ДНС-серверов была признано архиважной задачей еще года 3 назад, после крупной атаки на корневые сервера. видимо инфа у саныча трехлетней давности.

Tester ★★★
()
Ответ на: комментарий от lester

> А пользователи других систем не обновляются, а просто меняют одну опцию в конфиге и продолжают пить пиво

Мне кажется, что это больше похоже на опцию, которая указывается при compile-time (или даже при наложение отдельного патча, переносящего фичу из старых версий BIND), но я так и не нашил никаких патчей, так как сайт ISC оставляет желать лучшего, а для OpenBSD, ясное дело, патчей под данную проблему не намечается. ;)

km ★★★
() автор топика
Ответ на: комментарий от alt0v14

> а обратно разработчикам они патчи не отсылают? так бы все за пивом шли а не только опенбсд-шники

В данном случае, ситуация больше похожа на то, что товарищи из BIND решили использовать новый алгоритм, предварительно не проверенный на безопасность. ИМХО, читая истории djb про BIND, я очень сомневаюсь, что товарищей из BIND интересуют патчи, которые отключают и так никому не нужные фичи BIND'а, которые ISC (производитель BIND'а) рекомендует использовать по умолчанию. ;)

km ★★★
() автор топика

"Гениальное предвидение товарища djb в очередной раз блестяще оправдалось - BIND есть, был и будет уязвимым глюкалом" что ли?

sv75 ★★★★★
()
Ответ на: комментарий от Grindz

> Кто то ревльно это юзает на десктопах? Или это фантастика?

ну я например

beastie ★★★★★
()
Ответ на: комментарий от km

km, опять грязный пиар OpenBSD. Бинд юзают многие провайдеры из-за инертности мышления или даже незнания.

В качестве кеширующего рекурсивного ns бинд ужасен. 800-1000 рекурсивных запросов в секунду и бинду среднее время ответа возрастает сначала до сотен миллисекунд, а потом и до десятков секунд.

Причём, его поведение примерно одинаково как на niagara(8 cores)+8Gb ram(Solaris 10), так и на двухпроцессорном x4100(opteron 2.2GHz)+4Gb ram(freebsd 6.2).

Везде бинд был собран с тредами.

Реально под такой нагрузкой живёт powerdns-recursor (его стошнило когда он отожрал почти всю физическую память и полгига свопа).

2km: лучше бы привёл результаты openbsd в sysbench(oltp) на 2/4/8 ядрах. В кач-ве СУБД - mysql(Т.е. тот самый тест Джеффа Робертсона). А орать "мы самые секурные" глупо без упоминания производительности.

anonymous
()
Ответ на: комментарий от anonymous

поделитесь информацией, от чего именно "стошнило" powerdns-recursor? Количество запросов превысило 1000 в сек. или память течёт? У меня есть острая проблема как раз в производительности dns. BIND не падает и память не жрёт, но тупо не успевает :(

Serj_LV
()
Ответ на: комментарий от anonymous

> Бинд юзают многие провайдеры из-за инертности мышления

А я что, спорю? ;) Вопрос в другом -- BIND до сих пор юзают.

> А орать "мы самые секурные" глупо без упоминания производительности.

Здрасьте, а кому нужна производительность, если систему всё равно нельзя показать наружу? Я никогда и не утверждал, что OpenBSD работает быстрее чем альтернативные системы. Здесь акцент на другом -- OpenBSD работает, и по умолчанию имеет все необходимые встроенные программы и поддерживает большое количество железа, которое не поддерживают другие системы. Например, во FreeBSD 7.0-CURRENT до сих пор имеются какие-то проблемы с поддержкой видео в G965, а в OpenBSD 4.1-current уже давным-давно всё работает (как минимум с мая 2007, когда я приобрёл данную машину). Можно приводить много других примеров -- опять же, про wireless. В итоге -- использовать OpenBSD как в качестве десктопа, так и в качестве сервера намного проще и приятнее, нежели альтернативные открытые системы.

Работа по оптимизации SMP тоже ведётся, вполне вероятно, что труд товарищей из NetBSD нам здесь тоже поможет, хотя я пока в эти дела не вникал.

km ★★★
() автор топика

подробности о BIND DNS Cache Poisoning от Theo de Raadt — в OpenBSD данную ошибку исправили ещё в 1997-ом году!

К беседе присоединился Theo! [0]

Смысл сказанного: в BIND ещё в 1997 году была уязвимость [1], в OpenBSD её исправили, а товарищи из ISC решили её исправить по своему, в результате и появилась данная ошибка в безопасности, о которой сегодня идёт речь. Товарищи из OpenBSD несколько раз предупреждали ISC о том, что ISC реализация не является наилучшей, но как нетрудно предположить, ISC данные рекомендации игнорировал.

В результате, в OpenBSD просто портировали свой же патч из предыдущей версии BIND в BIND 9.

Так что в новости слово "опций" скорее всего следует читать как "фич". ;)

[0] http://www.undeadly.org/cgi?action=article&sid=20070725193920&pid=15

[1] http://www.openbsd.org/advisories/res_random.txt

km ★★★
() автор топика
Ответ на: комментарий от Serj_LV

>поделитесь информацией, от чего именно "стошнило" powerdns-recursor?

я же говорю: он отожрал всю физическую ram и залез в swap.
Я выставил заведомо безумный лимит по числу записей в кеше
(500 млн) чтобы посмотреть его поведение в условиях близких к
DoS-атаке и большом кэше.

До момента пока precursor не залез в своп он беспроблемно отвечал
при 1500-2000 запросов в сек(при среднем времени ответа в 7-12мс).

anonymous
()
Ответ на: комментарий от anonymous

днс-запросы генерились dnsperf'ом + простенькая программка на C,
плюющая в stdout запросы.

anonymous
()
Ответ на: комментарий от km

>Здрасьте, а кому нужна производительность, если систему всё равно нельзя показать наружу?

не все сервисы публичны. Ту же mysql вы не будете выставлять наружу?

>OpenBSD работает, и по умолчанию имеет все необходимые встроенные программы и поддерживает большое количество железа, которое не поддерживают другие системы.

Ага... вот только как-то крайне выборочно она поддерживает.

>Например, во FreeBSD 7.0-CURRENT до сих пор имеются какие-то проблемы с поддержкой видео в G965

Понимаете, эту проблему, как новый функционал pf решат просто - портанут из openbsd.

А вот ту же smp и массу других вещей полукопипастом не решить.

>Работа по оптимизации SMP тоже ведётся, вполне вероятно, что труд товарищей из NetBSD нам здесь тоже поможет

как уже говорили в соседних ветках, smp - это не кусок кода.
smp - это инфраструктура, пронизывающая всё ядро.

anonymous
()
Ответ на: комментарий от anonymous

> не все сервисы публичны. Ту же mysql вы не будете выставлять наружу?

Ну так MySQL лучше всего идёт на FreeBSD, я здесь даже и не спорю. ;)

> Ага... вот только как-то крайне выборочно она поддерживает.

Ну почему это выборочно? Железки с документаций поддерживаются в первую очередь, но и reverse engineering закрытых железок не отстаёт. Примером могут выступать всё те же беспроводные драйвера -- поддерживаются и Realtek с Ralink'ом, и Intel с Atheros'ом.

> smp - это инфраструктура, пронизывающая всё ядро.

Это понятно, но у OpenBSD и NetBSD остаётся определённое количество общего кода в ядре, так что ИМХО некоторая польза OpenBSD всё-таки может быть. Да и в конце концов -- прогресс движется конкуренцией! ;)

km ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.