Фундаментальная уязвимость в DNS.

Обсуждение всяких разных новостей.
Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Фундаментальная уязвимость в DNS.

Непрочитанное сообщение manefesto » 2008-07-09 11:17:42

Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера. Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.

Организация ISC уже выпустила обновление BIND 9.5.0-P1, BIND 9.4.2-P1 и BIND 9.3.5-P1, а также опубликовала специальный пресс-релиз, в котором подчеркнута серьезность проблемы и необходимость скорейшего обновления. К сожалению исправление существенно понижает производительность сервера, что особенно начинает проявляться при нагрузке в 10 тыс. запросов в секунду и выше. В бета версиях 9.5.1b1/9.4.3b2 начато тестирование оптимизированного варианта исправления, который должен частично решить возникшие проблемы с производительностью. Тем не менее, полную защиту от данного вида атак может обеспечить только использование DNSSEC.

Проверить DNS сервер на уязвимость можно на данной странице. Доступность исправлений для различных платформ можно узнать здесь. Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS (резолвер выделен в отдельный продукт PowerDNS Recursor, об уязвимости которого ничего не сообщается).
==============================
Взято отсюда http://www.opennet.ru/opennews/art.shtml?num=16872
я такой яростный шо аж пиздеЦ
Изображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение hizel » 2008-07-09 13:23:05

копи пасто это конечно занятно, но хорошо бы
хотябы с добавлением свыих мыслей например применительно к FreeBSD ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение manefesto » 2008-07-09 13:27:46

ну что я могу сказать. Нам придеться дольше всех ждать когда пофиксят. В мир не включат скорей всего. Будем ждать появления в портах.
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение Alex Keda » 2008-07-09 13:30:55

ну почему.
патчлевел выпустят и всё
Убей их всех! Бог потом рассортирует...

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение manefesto » 2008-07-09 13:37:51

через недельку другую придется обновляться. Опять день на пересборку уйдет
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
serge
майор
Сообщения: 2131
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение serge » 2008-07-09 14:41:47

Ну не нужно падать духом. Я думаю часть серверов, для которых такая уязвимость действительно критична обновить, я для ряда других можно особо и не волноваться (я про те которые в локалке стоят).
З.Ы. Получается что если у меня не resolve сервер, то и волноваться неочем? Если у меня master или slave сервера, которые держат зоны, то на них не будет это распространяться чтоли?

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение LMik » 2008-07-09 14:46:19

serge писал(а):Ну не нужно падать духом. Я думаю часть серверов, для которых такая уязвимость действительно критична обновить, я для ряда других можно особо и не волноваться (я про те которые в локалке стоят).
З.Ы. Получается что если у меня не resolve сервер, то и волноваться неочем? Если у меня master или slave сервера, которые держат зоны, то на них не будет это распространяться чтоли?
Ну если для рекурсивных серверов применимо, то таких очень мало... В локалке у меня например на юзверей рекурсив, а для инета (зоны и т.п) рекурсия выключена, соответственно только из локалки можно в кэш насрать. А это сразу вычисляется.

ПС: вобще вроде нон-критикал уязвимость названа.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение alex3 » 2008-07-09 15:14:20

ПС: вобще вроде нон-критикал уязвимость названа.
Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление.
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение LMik » 2008-07-09 15:55:02

alex3 писал(а):
ПС: вобще вроде нон-критикал уязвимость названа.
Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление.
Это в этой цитате чето погорячились.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение hizel » 2008-07-10 12:02:43

в портах bind обновился
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение LMik » 2008-07-10 12:39:07

hizel писал(а):в портах bind обновился
А системные не ещё?
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение hizel » 2008-07-10 13:27:43

нет не увидел
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение hizel » 2008-07-10 13:36:05

примечание: по-умолчанию named из порта bind9 будет установлен с
PREFIX=/usr/local, чтобы заменить им тот что поставляется с системой(bind8),
необходимо при сборке порта:

# make PORT_REPLACES_BASE_BIND9=yes && make install
http://unixgems.jinr.ru/~lavr/bind9setup.html
нафиг систему пересобирать :)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение LMik » 2008-07-10 13:40:36

hizel писал(а):
примечание: по-умолчанию named из порта bind9 будет установлен с
PREFIX=/usr/local, чтобы заменить им тот что поставляется с системой(bind8),
необходимо при сборке порта:

# make PORT_REPLACES_BASE_BIND9=yes && make install
http://unixgems.jinr.ru/~lavr/bind9setup.html
нафиг систему пересобирать :)
какой нафиг бинд8?

9 идет с системой.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение paradox » 2008-07-10 13:49:32

что то вы ту ужасное обсуждаете
вопервых проблема с рекурсив давно извесна
и нужно правильно им пользоваться
второе - SA патчи наверняка появяться - даже если в дерево не закоммитят
а с портов - нафиг

Аватара пользователя
LMik
капитан
Сообщения: 1852
Зарегистрирован: 2007-07-17 9:14:39
Откуда: МО
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение LMik » 2008-07-10 14:27:00

paradox писал(а): а с портов - нафиг
+1 раньше ставил и ссш2 из портов зачем то, потом понял что хренью какой то занимаюсь.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение hizel » 2008-07-10 14:41:40

ssh2 в портах не openssh , к томуже ssh-client в депендсах libX11 действительно фигню сделал
а я пожалуй обновлю
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение manefesto » 2008-07-10 14:46:30

хизел, ветку новостей сделай
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение hizel » 2008-07-10 14:51:11

где? :shock:
если в форуме, то я никак, я же не одмин слава богу ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение manefesto » 2008-07-10 17:21:56

супермодератор тока ?
я такой яростный шо аж пиздеЦ
Изображение

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение hizel » 2008-07-14 8:57:55

Код: Выделить всё

20080713:       p3      FreeBSD-SA-08:06.bind
        Improve randomization in BIND to prevent response spoofing.
патчлевел-3 вышел, можно мир обновлять ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

paradox_
проходил мимо

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение paradox_ » 2008-07-14 16:21:50

ехх
неуспел ((

Код: Выделить всё

http://lists.freebsd.org/pipermail/freebsd-announce/2008-July/001194.html

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение paradox » 2008-07-24 14:59:17

Код: Выделить всё

http://www.opennet.ru/opennews/art.shtml?num=17101

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение paradox » 2008-07-24 21:38:33

один мудак експлоит выложил
другие пошли dns проверять
два дня инет лежит

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Фундаментальная уязвимость в DNS.

Непрочитанное сообщение zingel » 2008-07-24 21:39:24

уж не этот ли? =)

http://milw0rm.com/exploits/6123
Z301171463546 - можно пожертвовать мне денег