Фундаментальная уязвимость в DNS.

[manefesto]

Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера. Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.

Организация ISC уже выпустила обновление BIND 9.5.0-P1, BIND 9.4.2-P1 и BIND 9.3.5-P1, а также опубликовала специальный пресс-релиз, в котором подчеркнута серьезность проблемы и необходимость скорейшего обновления. К сожалению исправление существенно понижает производительность сервера, что особенно начинает проявляться при нагрузке в 10 тыс. запросов в секунду и выше. В бета версиях 9.5.1b1/9.4.3b2 начато тестирование оптимизированного варианта исправления, который должен частично решить возникшие проблемы с производительностью. Тем не менее, полную защиту от данного вида атак может обеспечить только использование DNSSEC.

Проверить DNS сервер на уязвимость можно на данной странице. Доступность исправлений для различных платформ можно узнать здесь. Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS (резолвер выделен в отдельный продукт PowerDNS Recursor, об уязвимости которого ничего не сообщается).
==============================
Взято отсюда http://www.opennet.ru/opennews/art.shtml?num=16872

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

копи пасто это конечно занятно, но хорошо бы
хотябы с добавлением свыих мыслей например применительно к FreeBSD

[manefesto]

ну что я могу сказать. Нам придеться дольше всех ждать когда пофиксят. В мир не включат скорей всего. Будем ждать появления в портах.

[Alex Keda]

ну почему.
патчлевел выпустят и всё

[manefesto]

через недельку другую придется обновляться. Опять день на пересборку уйдет

[serge]

Ну не нужно падать духом. Я думаю часть серверов, для которых такая уязвимость действительно критична обновить, я для ряда других можно особо и не волноваться (я про те которые в локалке стоят).
З.Ы. Получается что если у меня не resolve сервер, то и волноваться неочем? Если у меня master или slave сервера, которые держат зоны, то на них не будет это распространяться чтоли?

[LMik]

Ну не нужно падать духом. Я думаю часть серверов, для которых такая уязвимость действительно критична обновить, я для ряда других можно особо и не волноваться (я про те которые в локалке стоят).
З.Ы. Получается что если у меня не resolve сервер, то и волноваться неочем? Если у меня master или slave сервера, которые держат зоны, то на них не будет это распространяться чтоли?

Ну если для рекурсивных серверов применимо, то таких очень мало... В локалке у меня например на юзверей рекурсив, а для инета (зоны и т.п) рекурсия выключена, соответственно только из локалки можно в кэш насрать. А это сразу вычисляется.

ПС: вобще вроде нон-критикал уязвимость названа.

[alex3]

ПС: вобще вроде нон-критикал уязвимость названа.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление.

[LMik]

ПС: вобще вроде нон-критикал уязвимость названа.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление.

Это в этой цитате чето погорячились.

[hizel]

в портах bind обновился

[LMik]

в портах bind обновился

А системные не ещё?

[hizel]

нет не увидел

[hizel]

примечание: по-умолчанию named из порта bind9 будет установлен с
PREFIX=/usr/local, чтобы заменить им тот что поставляется с системой(bind8),
необходимо при сборке порта:

# make PORT_REPLACES_BASE_BIND9=yes && make install

http://unixgems.jinr.ru/~lavr/bind9setup.html
нафиг систему пересобирать

[LMik]

примечание: по-умолчанию named из порта bind9 будет установлен с
PREFIX=/usr/local, чтобы заменить им тот что поставляется с системой(bind8),
необходимо при сборке порта:

# make PORT_REPLACES_BASE_BIND9=yes && make install

http://unixgems.jinr.ru/~lavr/bind9setup.html
нафиг систему пересобирать

какой нафиг бинд8?

9 идет с системой.

[paradox]

что то вы ту ужасное обсуждаете
вопервых проблема с рекурсив давно извесна
и нужно правильно им пользоваться
второе - SA патчи наверняка появяться - даже если в дерево не закоммитят
а с портов - нафиг

[LMik]

а с портов - нафиг

+1 раньше ставил и ссш2 из портов зачем то, потом понял что хренью какой то занимаюсь.

[hizel]

ssh2 в портах не openssh , к томуже ssh-client в депендсах libX11 действительно фигню сделал
а я пожалуй обновлю

[manefesto]

хизел, ветку новостей сделай

[hizel]

где?
если в форуме, то я никак, я же не одмин слава богу

[manefesto]

супермодератор тока ?

[hizel]

Код: Выделить всё

20080713:       p3      FreeBSD-SA-08:06.bind
        Improve randomization in BIND to prevent response spoofing.

патчлевел-3 вышел, можно мир обновлять

[paradox_]

ехх
неуспел ((

Код: Выделить всё

http://lists.freebsd.org/pipermail/freebsd-announce/2008-July/001194.html

[paradox]

Код: Выделить всё

http://www.opennet.ru/opennews/art.shtml?num=17101

[paradox]

один мудак експлоит выложил
другие пошли dns проверять
два дня инет лежит

[zingel]

уж не этот ли?

http://milw0rm.com/exploits/6123