Увидел свет первый стабильный релиз новой ветки DNS-сервера BIND 9.7, основные улучшения в которой направлены на упрощения конфигурирования и обслуживания DNSSEC.

Главные новшества:

• Реализована опция 'auto-dnssec' для осуществления полностью автоматического создания цифровой подписи для динамически конфигурируемых зон - ключи для подписи будут созданы автоматически и подписаны;
• Упрощен процесс настройки расширения DLV (NSSEC Lookaside Validation), добавлена поддержка элемента конфигурации «dnssec-lookaside auto;», который позволяет избежать некоторых ручных манипуляций с dlv.isc.org;
• Для упрощения конфигурирования DDNS (Dynamic DNS) добавлена новая утилита командной строки ddns-confgen;
• Для named реализована опция «attach-cache», позволяющая привязать несколько представлений зоны (view) к общему кэшу;
• Добавлена защита от "DNS rebinding" атак;
• Изменены параметры по умолчанию, используемые при генерации ключей утилитой dnssec-keygen - без явного указания теперь генерируется 1024-битный ключ RSASHA1, а при указании опции "-f KSK" - 2048-битный ключ RSASHA1;
• Поддержка определенной в RFC 5011 технологии автоматического обновления доверительных якорей (Trust Anchors);
• Режим умного подписывания зон (dnssec-signzone -S), на основе доступных мета-данных определяющий какие ключи нужно использовать для заданной зоны;
• В libdns представлено предназначенное для использования в сторонних программах новое API, учитывающее особенности работы DNSSEC;
• Улучшена поддержка PKCS#11, включая поддержку аппаратных HSM-модулей Keyper и возможность явного выбора использования для работы движка OpenSSL.

В анонсе также сообщается, что в редких случаях при выполнении DNSSEC проверок наблюдается утечка памяти. Патч для решения проблемы уже создан, но к сожалению он не успел войти в состав BIND 9.7.0 и будет представлен только в версии 9.7.1.

>>> Взято с OpenNet

В популярном DNS-сервере ISC BIND версии 9 обнаружена уязвимость, позволяющая поместить в кэш сервера некорректные данные.

Уязвимость проявляется при работе сервера в режиме рекуррентного резольвера с поддержкой DNSSEC, во время обработки клиентского запроса с установленными флагами CD (отключить проверку) и DO (получить записи DNSSEC). Нормальные клиенты, как правило, не отправляют подобные запросы, поэтому риск можно свести к минимуму всего лишь правильной настройкой allow-recursion. Также проблему решает полное отключение DNSSEC-проверок на сервере.

Тем не менее, ISC уже выпустила обновления безопасности для веток 9.6, 9.5 и 9.4. Всем администраторам, использующим уязвимые версии BIND (9 и выше), рекомендуется произвести обновление.

>>> Подробности

Найдена очередная удаленная уязвимость в популярном сервере протокола DNS - Bind 9.

При получении специально созданного запроса на dynamic dns update (спецификация RFC 2136), сервер bind вылетает со следующим сообщением:

db.c:659: REQUIRE(type != ((dns_rdatatype_t)dns_rdatatype_any)) failed
exiting (due to assertion failure).

Стоит заметить, этой уязвимости подвержены все сервера bind, которые сконфигурированы мастером хотя бы для одной зоны. При этом не важно, разрешены ли dynamic updates, достаточно просто быть мастером. ACL на бинде вас тоже не спасет.

На сайте ISC доступны патчи и обновленные архивы исходников. В сети циркулирует публичный эксплойт, так что всем рекомендуется обновиться как можно раньше.

>>> Подробности

Российский физик Евгений Поляков продемонстрировал возможность атаки на последнюю версию BIND, в которую входят патчи, осуществлённые после обнаружения опасной дыры в DNS Дэном Камински.

>>> http://webplanet.ru/news/security/2008/08/11/dns.html

Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS-серверов.

Проблеме присвоен максимальный уровень опасности.

Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS.

>>> Доступные обновления

Gentoo Linux показал наибольшую производительность в тестировании ISC сервера BIND версии 9.4.1-P1.

Top10:
Linux Gentoo 2.6.20.7
Linux Fedora Core 2.6.20.7
FreeBSD-7-CURRENT 200708
FreeBSD-6-stable 200708
FreeBSD 6.2-RELEASE
Solaris-10 DevelExpr 5/07
NetBSD-4.0-Beta 200708
OpenBSD 4.1-snap-20070427
Windows 2003 Server
Windows XP Pro64 5.2.3790 SP2

>>> Подробности на ISC.org