URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 123309
[ Назад ]
Исходное сообщение
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода"
Отправлено opennews , 18-Фев-21 10:32 
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54611

Содержание
Сообщения в этом обсуждении
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 10:32 
- системы, в настройках которых включено использование GSS-TSIG
- BIND сочетается с контроллерами домена Active Directory
Мимо, мимо...
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 10:35 
Да, твои 2019 вне опасносте. Страдать будут лишь васяны, полезшие со своим шва6одным софтом заменять нормальный энтерпрайзный.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 10:44 
И анально огороженные локалками 2019 вне опасности, и публичные серверы на BIND вне опасности :)
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 10:44 
Главное - да, пиво с водкой не мешать :D
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено A.Stahl , 18-Фев-21 10:46 
>пиво с водкой ... мешать

Какое варварство. Конечно не мешать: сначала водка, а потом пиво.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено нежданчик , 18-Фев-21 11:03 
ну всЁ. меня развезло. даже на opennet'е никому нельзя верить. ZZzzzz....
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 18-Фев-21 10:54 
А чего тебя так бомбит от шва6одного софта? Он над тобой надругался?
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 11:03 
А чего ж он г-но-то такое?!
И ладно б лежал тихо в своей ненужно-нише - лезет же ж "поддерживать" то, чего толком не умеет и не будет.

P.S. у меня есть пара 2008R2 с public dns - пока никто не умер.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено ананим.orig , 18-Фев-21 11:42 
это ты на опеннет пришел, а не наоборот.

> P.S. у меня...

угу, неуловимый джо.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Страдивариус , 18-Фев-21 11:44 
Я вас попрошу! Неуловимый некрофил Джо! 2008R2 в конце концов!
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 12:11 
ну так они и работают примерно с того самого 2008го.
А поскольку ни разу не шва6одные - апгрейд того - деньгов стоит.
Пока там нет страшных и ужасных увизгвимостей в том dns - не вижу никакого смысла платить.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Имя , 18-Фев-21 18:15 
>Пока там нет страшных и ужасных увизгвимостей в том dns

а откуда вы знаете, что их там нет?

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Имя , 18-Фев-21 18:16 
пардон, вижу, уже обсудили ниже.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 18:27 
Визга истеричек не слышу же ж!
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено RM , 18-Фев-21 19:58 
я тоже удивился, как насчет
CVE-2020-1350 Remote Code Execution Critical
CVE-2021-24078 Remote Code Execution Critical
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено ford1813 , 18-Фев-21 12:12 
То есть по вашему в 2008R2 нет уязвимостей?
Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют.
Хорошо иметь ПО с закрытым кодом, нет необходимости говорить про уязвимости ибо вам про них никто не расскажет, а если никто не расскажет значит и уязвимости нет?)))
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 12:33 
> То есть по вашему в 2008R2 нет уязвимостей?

существенных для меня - полагаю, на два порядке меньше чем в коде написанном одноразовыми аспирантами ISC.

> Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют.

авторы помянутых sasser и blaster как-то обошлись без публикаций (хотя, вероятно, не обошлись без дизассемблирования патчей, поскольку появились эти троянцы именно после, а не до появления соответствующих фиксов)

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 19:09 
Ну если я пару десятков тысяч доменов публичных на божественную виндузу добавлю - ей сильно поплохеет.
Либо мне придётся эту виндузу расплодить в очень большом количестве.
Или если я пару сотен тысяч клиентов на неё пущу.
ISP, угу.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 18-Фев-21 11:46 
> Страдать будут лишь васяны, полезшие со своим шва6одным софтом
> заменять нормальный энтерпрайзный.

Ты так говоришь, как будто в винде дыреней не бывает. У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было, при том последний из могикан прошибал ВСЕ, от десятки до икспы. Может и винтукея, просто не проверял никто. Я правда не понимаю как, говорят что снаряд в одну воронку не попадает. А тут раз 5 - в один несчастный lsass, один несчастный протокол? :)

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 12:22 
> Ты так говоришь, как будто в винде дыреней не бывает.

бывают, конечно, только вот конкретно продукты ISC - это полное днище, с самого их появления и до сегодняшних дней.

> У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было

ничего что это ms rpc? У вас ничего похожего нет и никогда не было.
Впрочем - рискнешь ли ты выставить голой сракой наружу обычный, sun rpc? Поводов для этого, надо заметить, поболее будет, поскольку в отличие от ms'овского он застревает в файвроллах. (точнее, бывало, поскольку нынче вымер использовавший его софт, кроме nfs, подпертого кривым костылем)

В пресловутые нулевые, когда  появился blast, sun'овский rpc только ленивый не ломал. С тех пор, полагаю, не софт стал качественней, а sun rpc умер вместе с nfs'ами, превратившись в неуловимого джо. Заменившись, кстати, угадай чем?

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Дворник , 18-Фев-21 13:30 
> Заменившись, кстати, угадай чем?

SSH-ем?

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 19:11 
> ничего что это ms rpc? У вас ничего похожего нет и никогда не было.

И никогда не надо. HTTPS+JSON наше всё.

Баг в RPC, эксплоит которого впоследствии назвали msblast'ом, кстати я одним из первых обнаружил.
Намылил в MS. Через неделю получил ответ "инвестигируем". Ещё через месяц - "да ничего страшного, бежим дальше". Ну и вот. А через полгода вопили все.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено InuYasha , 18-Фев-21 11:07 
> при интеграции с Samba.

а это уже очень частый случай.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 14:04 
ССЗБ - частый случай, да.
Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и прочее - куда надёжнее юзать таки божественные 10 и 2019.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 18:17 
> ССЗБ - частый случай, да.
> Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и
> прочее - куда надёжнее юзать таки божественные 10 и 2019.

вот nfs-то зашибись невендопротокол. А ничего другого у вас - за тридцать лет не родилось. Одни костыли,подпорки и вот, лучший из них - краденая идея сасамбы.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено СеменСеменыч777 , 19-Фев-21 05:18 
> А ничего другого у вас - за тридцать лет не родилось

незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).


"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 19-Фев-21 15:12 
>> А ничего другого у вас - за тридцать лет не родилось
> незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).

Да там в рот берут все подряд, если это от IBM. Ненужная поделка от CMU, пятое или какое там по счету воплощение.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 18-Фев-21 10:46 
Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 10:48 
Лет через 100-100500.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 18-Фев-21 10:53 
Прежде чем переписывать что то на раст, надо сам раст проверить. А вдруг он вкомпилирует ошибку, тогда много чего придется перекомпилировать. А назад уже дороги не будет, к ламповому С, в котором сам свои ошибки проверять можешь/должен.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено InuYasha , 18-Фев-21 11:06 
> сам свои ошибки проверять можешь/должен.

Да о чём ты говоришь - каждый второй анон свой русский без чекера проверить не может.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Страдивариус , 18-Фев-21 11:43 
Чекер, анон - да тут знатоки русского в чатике! Любите Родину, мать вашу!
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 14:06 
Чатик от знатока русского в месте для обмена болтовнёй - тоже так себе.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено СеменСеменыч777 , 20-Фев-21 23:31 
> Чекер, анон -

а также свитчи, роутеры и фаерволлы.

> да тут знатоки русского в чатике!

А ТО !

> Любите Родину, мать вашу!

когда родина начнет производить свои коммутаторы, машрутизаторы и брандмауэры - тогда можно будет об этом подумать.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Michael Shigorin , 20-Фев-21 23:45 
>> Любите Родину, мать вашу!
> когда родина начнет производить свои коммутаторы, машрутизаторы
> и брандмауэры - тогда можно будет об этом подумать.

Русьтелетех и другие; ИВК Кольчуга.

Давайте размышлять и радоваться разом,
поскольку эта жизнь -- короткая, зараза...

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено СеменСеменыч777 , 21-Фев-21 15:30 
> Русьтелетех и другие; ИВК Кольчуга.

я посмотрел. по первому впечатлению - распильщики подфуражечные.
на открытом рынке разумеется неконкурентоспособны. на этом все.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Michael Shigorin , 21-Фев-21 17:28 
> на открытом рынке разумеется неконкурентоспособны. на этом все.

К слову об "отрытом рынке":

http://t.me/rufuturism/19937
http://itc.ua/blogs/mariannu-maczczukato-istinnyj-dvigatel-i.../

Sapienti sat.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено СеменСеменыч777 , 22-Фев-21 15:56 
вскрыватели покровов разоблачили главную тайну силиконовой долины. ой все.
а в этой стране силиконовй долины нет и не будет. потому что.

вот по теме "как создавалась советская микроэлектроника и Зеленоград" пишут:
1) советский инженер http://lit.lib.ru/g/galxperin_m_p/galperin.shtml
2) несоветский неинженер https://galkovsky.ru/upravda/archive/129.html
делайте выводы.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Fractal cucumber , 07-Мрт-21 21:36 
Че за силиконовая долина такая? Кремниевую знаю, а вот силиконовую... звучит как-то пошло...
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Michael Shigorin , 18-Фев-21 13:06 
Нуу "что-то" и лишняя запятая после "будет" (хотя там и авторское тире вполне годится) -- можно было и подсказать. :-)
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 18-Фев-21 11:49 
Для начала пусть себе чтоли хоть кодогенератор с оптимизации на расте напишут. А то дергают 60-метровую сиплюсплюсную либу чтобы из растишки код сгенерить - и лечат как плюсы плохи. ХЫ.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 19-Фев-21 20:26 
>риторика "Вы сами"

Я тебе больше скажу, они намеренно не хотят с Libc уходить чтобы не писать свою такую же.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 18-Фев-21 11:48 
> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы

Они уже переписывали бинд10 на питон. Получилось такое энтерпрайз монстрило, что, кажется, желающих им пользоваться вообще не вылупилось. Могу себе представить что они с хрустом зарелизят.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 12:24 
Вы не понимаете - парадигма переписания на хрусте вообще не предполагает что что-то зарелизят. В этом, безусловно, и кроется секрет успеха, ведь код, который еще нигде не используется, совершенно безопастен.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Ordu , 18-Фев-21 16:39 
> Когда же все перепишут на раст

Неформальное движение RiiR получило финансирование от Google: https://security.googleblog.com/2021/02/mitigating-memory-sa...

Так что уже скоро. Надо только подождать.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 18:23 
> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы

Вы опять вот неправильно понимаете парадигму раст.

Правильно было бы спросить - где уже _переписывают_. Вот, например, здесь: https://github.com/ctz/rustls
уже достигли невиданных успехов в хайпе, привлечении внимания и статьях в прессу.

А, да. Шифрования там не ищите, им там пресловутый ring занимается. Со всеми вытекающими.
Но asn1 парсер - зуб дают, безопастен! Когда-нибудь будет.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 19-Фев-21 01:34 
Да, только хотел сказать, что уже давно пишут, а тут опередил меня.

В целом-то использовать или нет старый софт компании сами выбирают.

Те которые имеют на своем борту инженеров не только конфигурационных,
но и умеющих разрабатывать софт уже делают быстрее, лучше, надежнее
и т.д.

А вы почему спрашиваете у Вас в компании тоже есть потребность?

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 19-Фев-21 15:15 
> А вы почему спрашиваете у Вас в компании тоже есть потребность?

В хайпе, привлечении внимания и статьях в прессу - нет. Мы не IT компания, наши акции от этого не вырастут. Да и не public они ни разу.

А работающий dns сервер у нас и так есть. Не, не bind ни разу.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Michael Shigorin , 18-Фев-21 13:05 
Предложил правку новости, поскольку:

---
--disable-isc-spnego \
--- http://packages.altlinux.org/ru/p9/specfiles/bind

Не все дистрибутивы одинаково полезны (ц)

PS: хотя на днях даже от астры такая могучая польза на публику вылезла, что ни в сказке сказать, ни пером описать; и я даже сошлюсь на LOR, знакомые с которого её раскопали: http://www.linux.org.ru/news/opensource/16158350

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Какаянахренразница , 18-Фев-21 13:38 
> уязвимость, не исключающая
> ...
> уязвимость, потенциально способная привести

Это как?

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Онаним , 18-Фев-21 14:08 
Это untested.
Вроде наверное как бы может быть и можно, но механика не вполне очевидна, и поэтому пруфа оф концепта пока не существует. Может да, а может и нет.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Ordu , 18-Фев-21 16:41 
> Это как?

Это исключение из закона исключённого третьего. Доказать, что уязвимость может быть эксплуатирована для выполнения произвольного кода не удалось. И опровергнуть тоже не удалось. Может просто потому, что никто особо не заморачивался. Да и какая нахрен разница?

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Какаянахренразница , 18-Фев-21 17:39 
Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже.

Как сказал академик Кадыров, "а ты докажи, что не аллах".

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Ordu , 18-Фев-21 20:16 
> Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже.

Хыхы, да. Это одна из причин, почему я ратую за отмену закона исключённого третьего: если всё оказывается исключением, то это не исключение, а правило. Скорее надо первые два исключить, потому что они совершенно нереалистичны и встречаются лишь в качестве исключения.

Но здесь всё ж ситуация несколько иная. Наличие бага доказано. Не понятен диаметр получившейся дыры.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Хартман , 18-Фев-21 17:19 
BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет дыр
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено пох. , 18-Фев-21 18:26 
> BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет
> дыр

чего это вдруг? Шиарная стая блох из под powerdns несколько лет назад была вытрясена.

Потом, наверное, и правда всем надоело.

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Хартман , 19-Фев-21 00:18 
PowerDNS второй после бинда по популярности, так что неудиален что его переодически латают
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 18-Фев-21 19:23 
А есть аналог bind? Если он с дырками, то должны быть альтернативы, я просто не в теме.
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено СеменСеменыч777 , 18-Фев-21 19:45 
аналогов по фичсету нет.
если хочется вот прямо "unbreakable", то есть
https://en.wikipedia.org/wiki/Djbdns
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Хартман , 19-Фев-21 00:16 
BIND практически безальтернативен, так как самый популярный и фитчастый... к слову баги есть в любом DNS сервере, просто в бинде их находят и латают, а в других хер кладут
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Аноним , 19-Фев-21 01:38 
Нужно ли это обновлять на десктопе или пох?
"Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."
Отправлено Брат Анон , 19-Фев-21 10:13 
Не знаю. В бубунте у меня прям с утра патч прилетел.