форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
Сообщение от opennews (??) on 27-Июл-13, 23:07
Организация ISC выпустила (https://lists.isc.org/pipermail/bind-announce/2013-July/0008...) экстренные обновления DNS-сервера BIND с устранением уязвимости (CVE-2013-4854), позволяющей инициировать крах процесса named через отправку  запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитативные серверы. Ограничение доступа через ACL не позволяет защититься от проблемы, помочь может только ограничение доступа к сетевому порту на уровне пакетного фильтра. Проблема усугубляется тем, что информация о методе эксплуатации появилась в Сети до выхода исправления и несколько компаний зафиксировали применения уязвимости для атаки на  DNS-серверы. В настоящий момент уязвимость уже исправлена в выпусках BIND 9.9.3-P2 и 9.8.5-P2, все остальные версии BIND 9, новее ветки 9.6, подвержены атаке. Для BIND 9.7 официальное исправление не выпущено, так как время поддержки данной ветки прекращено, тем не менее уже доступно (http://seclists.org/fulldisclosure/2013/Jul/256) обновление пакетов с BIND 9.7 для Debian. Аналогичное обновление также выпустил (http://www.freebsd.org/security/advisories/FreeBSD-SA-13:07....) проект FreeBSD. RHEL/CentOS, Fedora, SUSE, openSUSE, Ubuntu и другие дистрибутивы Linux обновления на момент написания новости  ещё не выпустили (http://wiki.opennet.ru/SecurityAnnounces). Отдельно можно отметить объявление (https://www.isc.org/blogs/isc-adds-ddos-defense-module-to-bi.../) о добавлении в состав будущих выпусков BIND модуля  RRL (https://kb.isc.org/article/AA-01000), предоставляющий эффективный механизм для защиты от проведения DDoS-атак с использованием DNS. Речь ведётся не об атаках, направленных на выведение из строя DNS-сервера, а об использовании DNS-серверов для атак на другие системы. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов (исходный трафик приумножается примерно в 100 раз). Во втором квартале 2013 года частота проведения подобных атак возросла на 20%. При этом в среднем при каждой такой DDoS атаке генерируется трафик порядка 50 млн пакетов в секунду. RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя (заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие). Модуль RRL добавляет поддержку директивы responses-per-second в блок rate-limit, позволяющей задать допустимое число ответов в секунду. URL: https://lists.isc.org/pipermail/bind-announce/2013-July/0008... Новость: http://www.opennet.dev/opennews/art.shtml?num=37528
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–4 +/–
Сообщение от Аноним (??) on 27-Июл-13, 23:07
самая большая дыра - наличие интернета как такового
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	21. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Аноним (??) on 29-Июл-13, 00:00
	Ты прям как сталин: "нет того - нет сего" Тогда вот так "Думайте сами, решайте сами - иметь или не иметь."
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	24. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+3 +/–
	Сообщение от Аноним (??) on 29-Июл-13, 06:06
	Самая большая дыра - это наличие у вас компьютера.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	35. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от Михрютка (ok) on 29-Июл-13, 15:40
	самая большая дыра - это наличие за ним пользователя.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

2. "Опасная уязвимость в DNS-сервере BIND. В состав BIND..."	+2 +/–
Сообщение от arisu (ok) on 27-Июл-13, 23:14
«шо, опять?!»
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Опасная уязвимость в DNS-сервере BIND. В состав BIND..."	+3 +/–
	Сообщение от Аноним (??) on 28-Июл-13, 01:17
	Хорошо еще, что не remote code execution, как в старые добрые времена.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
Сообщение от Аноним (??) on 27-Июл-13, 23:23
Обновился :-p
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+4 +/–
	Сообщение от kurokaze (ok) on 27-Июл-13, 23:47
	>Обновился :-powerdns Исправил, не благодари
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	9. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+5 +/–
	Сообщение от Аноним (??) on 28-Июл-13, 01:42
	>>Обновился :-powerdns > Исправил, не благодари Обновись до powerdns и получи пачку глюков в самых неожиданных местах. Зато зоны в РСУБД, че.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	12. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Аноним (??) on 28-Июл-13, 07:53
	Не, у меня и powerdns тоже есть. И зоны в файлах как у BIND, powerdns такое умеет, ага.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	33. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от PnD (??) on 29-Июл-13, 11:04
	Для авторитатива лучше nsd. Никаких рюшек (типа geoip), зато хрен прошибёшь. Единственный косяк - твёрдое следование rfc в 3.х, что в части CNAME откровенно мешает. Подписанные зоны встречаются пока куда реже, чем надобность форварднуть домен "не глядя".   Где без рюшек никак - берём bind|pdns по вкусу и делегируем им нужный кусок. С pdns возни на старте больше, зато на выходе - вполне шустрый DNS с клиентской мордой.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	34. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–2 +/–
	Сообщение от Stellarwind on 29-Июл-13, 11:49
	тогда уж djbdns сразу
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	41. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+2 +/–
	Сообщение от Аноним (??) on 29-Июл-13, 17:45
	Это в 1993 был бы хороишй совет. в 2013 - лишь показывает что ты кретин.
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

6. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
Сообщение от Sabakwaka (ok) on 28-Июл-13, 00:24
Прекрасно. А то ЗАДРАЛИ китайцы за последнюю неделю... Только RRL патч нужно указать при сборке. По умолчанию отключен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+2 +/–
	Сообщение от Вонни on 28-Июл-13, 00:52
	в nsd все это давно реализовано --enable-ratelimit      Enable rate limiting --enable-draft-rrtypes  Enable draft RRtypes. --with-max-ips=number   Limit on the number of ip-addresses that may be specified
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Sabakwaka (ok) on 28-Июл-13, 01:48
	>> в nsd все это давно реализовано Страшновато, блеин, переходить с БИНДа... Особенно в преддверии подъёма IDN почты...
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	14. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+1 +/–
	Сообщение от Вонни on 28-Июл-13, 12:11
	>>> в nsd все это давно реализовано > Страшновато, блеин, переходить с БИНДа... > Особенно в преддверии подъёма IDN почты... nginx + nsd = что может быть проще?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	16. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Sabakwaka (ok) on 28-Июл-13, 13:51
	>>>> в nsd все это давно реализовано >> Страшновато, блеин, переходить с БИНДа... >> Особенно в преддверии подъёма IDN почты... > nginx + nsd = что может быть проще? Да уже почитал про nsd... Нужно будет  перейти на nsd, конечно. Впечатляющая производительность и нетребовательность к ресурсам.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	30. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от SubGun (ok) on 29-Июл-13, 09:58
	> Впечатляющая производительность и нетребовательность к ресурсам. jadifa?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	32. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Аноним (??) on 29-Июл-13, 10:46
	www.nlnetlabs.nl/blog/2013/07/08/nsd4-tcp-performance/ www.nlnetlabs.nl/blog/2013/07/05/nsd4-performance-measurements/
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	38. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от Sabakwaka (ok) on 29-Июл-13, 16:06
	http://habrahabr.ru/company/ukrnames/blog/129711/
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	19. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–2 +/–
	Сообщение от Аноним (??) on 28-Июл-13, 23:11
	смотря на что. если на unbound или djbdns - даже проще. и с ходе миграции и тем более поотом. если на powerdns или более монструозное - то всякое возможно :(
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	20. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Вонни on 28-Июл-13, 23:52
	Ты про это http://habrahabr.ru/post/178727/ ?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	36. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Аноним (??) on 29-Июл-13, 15:56
	да упаси бог !! в самых страшных кошмарах не приснится такой монстр ! лучше уж страдать в "кирпичном" BIND(хотя десятка это немного перебор).
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

11. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
Сообщение от Нанобот (ok) on 28-Июл-13, 03:02
>RRL является способом справиться с проблемой на стороне DNS-серверов мечтать не вредно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Dfox on 28-Июл-13, 12:17
	+1
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	17. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от Sabakwaka (ok) on 28-Июл-13, 15:09
	>>RRL является способом справиться с проблемой на стороне DNS-серверов >мечтать не вредно Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	26. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Dfox on 29-Июл-13, 09:36
	> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF. О чом вы?
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	37. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от Sabakwaka (ok) on 29-Июл-13, 16:03
	>> Это лучше, чем из вылавливать логов (поддельные в т.ч.) IP и втыкать их в PF. > О чом вы? Об отаках, с которыми спровляется RRL.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	40. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Dfox on 29-Июл-13, 17:34
	> Об отаках, с которыми спровляется RRL. Я просто не понимаю по каким критериям вы хотите отлавливать ip для PF и как RRL поможет спровлятся с подобными атаками.
	Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

	43. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от Sabakwaka (ok) on 29-Июл-13, 18:54
	>> Я просто не понимаю по каким критериям вы хотите отлавливать >> ip для PF и как RRL поможет спровлятся с подобными атаками. Парсим логи БИНДа, находим таймаутные отлупы БИНДа назойливым постоянным клиентам. Это в 100% — амплификаторы и в 99% — из Китая. Суём IP, с которых идет амплификация, в PF. А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы.
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

	44. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Dfox on 29-Июл-13, 19:16
	> А с RRL ставим 5 запросов в секунду не более в одно рыло и ЗАБЫВАЕМ о существовании проблемы. Да для некоторых днс серверов ето вариант, но например сервер который обслужывает домен первого уровня спокойно может отдавать 500 мегабит и зоны там большые, если просчитаться с лимитом запроса то атакующий просто может подставлять ip днсов крупного провайдера которого просто забанят. Да и для атаки ето не помеха, просто нужно больше днс серверов подходящих найти. В итоге с одной стороны как RRL создайот трудности для атаки но по сути они не критичны.
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

	45. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от Sabakwaka (ok) on 30-Июл-13, 00:19
	> 500 мегабит и зоны там большые, если просчитаться с лимитом запроса Для моего личненького DNS RRL работающее решение. Как проблему решают корневые организации — не знаю, это их зона ответственности.
	Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

13. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
Сообщение от Аноним (??) on 28-Июл-13, 10:28
какая то детская болезнь .. ИМХО .. чо раньше то, головы где были ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–2 +/–
	Сообщение от 123 (??) on 29-Июл-13, 02:13
	Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	23. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Led (ok) on 29-Июл-13, 02:29
	> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет - а тут только начали натыкаться. Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	29. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от SubGun (ok) on 29-Июл-13, 09:57
	> Обнови методичку, вендузоид: в новых методичках не 15, а 18 лет. Странно, что не ляпнул: "Это сурковская пропаганда"
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	25. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Клыкастый (ok) on 29-Июл-13, 09:34
	в венде? дооооо.... они bsd-шный стек, уже готовый, пришпандорить к своей поделке не могли без дырок. фрагментацию пакетов не осилили, позорники. уровень ниже горбатых поделок новичков-программистов.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	27. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от SubGun (ok) on 29-Июл-13, 09:55
	Слюни подотри.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	31. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Клыкастый (ok) on 29-Июл-13, 10:07
	> Слюни подотри. Воробьишко злился-злился, SubGun достал и застрелился :)
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	28. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от SubGun (ok) on 29-Июл-13, 09:56
	> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет > - а тут только начали натыкаться. Не совсем так. Просто виндовые dns почти нигде, кроме внутренней сети, не применяются.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	39. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	–1 +/–
	Сообщение от Sabakwaka (ok) on 29-Июл-13, 17:28
	Атаке подвержен, вообще-то, любой DNS. Это проблема индустрии, такая же, как голый SMTP. DNSSEC надо, однако. А его, однако, 0,000000000000000000000000000000.00% клиентов может использовать. Нужна неотключаемая поддержка DNSSEC искаропки на каждом дескпоце. А ее нет, млеа.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	42. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Аноним (??) on 29-Июл-13, 17:48
	> Это юникс детка - в винде дыры закрыли за прошедшие 15 лет > - а тут только начали натыкаться. То то я посмотрю весь мир на видновых днс-ах живёт :)))) Это новно из локалки не выпускают даже злобные буратины, а те кому море по колено ужо давно огреьли вою премию Дарвина :)
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	46. "Опасная уязвимость в DNS-сервере BIND. В состав BIND добавле..."	+/–
	Сообщение от Anonimous on 03-Авг-13, 12:34
	Просто если ломанут виндовый DNS, то может возникнуть много проблем. Особенно если он AD держит. А линуховые? Ну ломанули, ну снесли этот линух и откатили из бэкапа. Ломать бессмысленно, ничего важного нет.
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема