Страница 1 из 1

ВАЖНО! Всем срочно обновлять ПО.

СообщениеДобавлено: Чт июл 10, 2008 12:14 am
JayKay
Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера. Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.

Организация ISC уже выпустила обновление BIND 9.5.0-P1, BIND 9.4.2-P1 и BIND 9.3.5-P1, а также опубликовала специальный пресс-релиз, в котором подчеркнута серьезность проблемы и необходимость скорейшего обновления. К сожалению исправление существенно понижает производительность сервера, что особенно начинает проявляться при нагрузке в 10 тыс. запросов в секунду и выше. В бета версиях 9.5.1b1/9.4.3b2 начато тестирование оптимизированного варианта исправления, который должен частично решить возникшие проблемы с производительностью. Тем не менее, полную защиту от данного вида атак может обеспечить только использование DNSSEC.

Проверить DNS сервер на уязвимость можно на данной странице. Доступность исправлений для различных платформ можно узнать здесь. Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS (резолвер выделен в отдельный продукт PowerDNS Recursor, об уязвимости которого ничего не сообщается).



Для тех кого это касается, но нет опыта - помогу. Пишите на admin@garantweb.com

СообщениеДобавлено: Чт июл 10, 2008 4:22 am
garry
Что шумишь то?

Данная проблема никак не касается владельцев ВДС т.к. их ДНС сервера не используются в качестве кеширующих. Следовательно проблема в механизьмах кеширования никого не должна волновать.

Для тех редких клиентов кто с какой-то тайной целью всетаки пользуется свом ДНС сервером для кеширования, named будет централизовано обновлен в шаблонах.

СообщениеДобавлено: Чт июл 10, 2008 5:44 pm
darkk
Тем более баге несколько десятков лет и известна она давным-давно (если это та бага, о которой я подумал).
Почему шум подняли только сейчас - я, если честно, не понимаю.

Интересно было бы послушать доклад 7го августа, неужели что-то новое нашлось, и как dnssec может решить проблему спуфинга - так же, как её решает централизованая выдача https сертефикатов?

СообщениеДобавлено: Чт июл 10, 2008 7:24 pm
JayKay
garry писал(а):Что шумишь то?

Данная проблема никак не касается владельцев ВДС т.к. их ДНС сервера не используются в качестве кеширующих. Следовательно проблема в механизьмах кеширования никого не должна волновать.

Для тех редких клиентов кто с какой-то тайной целью всетаки пользуется свом ДНС сервером для кеширования, named будет централизовано обновлен в шаблонах.


Я как раз и "пошумел" для "тех редких клиентов кто с какой-то тайной целью всетаки пользуется свом ДНС сервером для кеширования".
Ну, а раз, будет обновлен, то и ахтунг не ахтунг.

СообщениеДобавлено: Пт июл 11, 2008 3:18 am
garry
Такие редкие умельцы обычно сами opennet читают ...

СообщениеДобавлено: Пн июл 14, 2008 1:31 pm
Sergey Shumov
garry писал(а):Такие редкие умельцы обычно сами opennet читают ...

Читать то читаем. Просто очень интересно было узнать когда шаблончик обновится.

СообщениеДобавлено: Вт июл 15, 2008 8:08 am
garry
все уже обновлено