ВАЖНО! Всем срочно обновлять ПО.

Все что связано с доменными именами

Модераторы: Art.i, garry

ВАЖНО! Всем срочно обновлять ПО.

Сообщение JayKay » Чт июл 10, 2008 12:14 am

Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера. Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.

Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции "Black Hat", которая состоится 7 августа.

Организация ISC уже выпустила обновление BIND 9.5.0-P1, BIND 9.4.2-P1 и BIND 9.3.5-P1, а также опубликовала специальный пресс-релиз, в котором подчеркнута серьезность проблемы и необходимость скорейшего обновления. К сожалению исправление существенно понижает производительность сервера, что особенно начинает проявляться при нагрузке в 10 тыс. запросов в секунду и выше. В бета версиях 9.5.1b1/9.4.3b2 начато тестирование оптимизированного варианта исправления, который должен частично решить возникшие проблемы с производительностью. Тем не менее, полную защиту от данного вида атак может обеспечить только использование DNSSEC.

Проверить DNS сервер на уязвимость можно на данной странице. Доступность исправлений для различных платформ можно узнать здесь. Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS (резолвер выделен в отдельный продукт PowerDNS Recursor, об уязвимости которого ничего не сообщается).



Для тех кого это касается, но нет опыта - помогу. Пишите на admin@garantweb.com
JayKay
 
Сообщений: 0
Зарегистрирован: Чт июл 10, 2008 12:11 am

Сообщение garry » Чт июл 10, 2008 4:22 am

Что шумишь то?

Данная проблема никак не касается владельцев ВДС т.к. их ДНС сервера не используются в качестве кеширующих. Следовательно проблема в механизьмах кеширования никого не должна волновать.

Для тех редких клиентов кто с какой-то тайной целью всетаки пользуется свом ДНС сервером для кеширования, named будет централизовано обновлен в шаблонах.
garry
Консультант
 
Сообщений: 2241
Зарегистрирован: Сб дек 07, 2002 3:39 pm
Откуда: FirstVDS

Сообщение darkk » Чт июл 10, 2008 5:44 pm

Тем более баге несколько десятков лет и известна она давным-давно (если это та бага, о которой я подумал).
Почему шум подняли только сейчас - я, если честно, не понимаю.

Интересно было бы послушать доклад 7го августа, неужели что-то новое нашлось, и как dnssec может решить проблему спуфинга - так же, как её решает централизованая выдача https сертефикатов?
darkk
Advanced customer
 
Сообщений: 263
Зарегистрирован: Пн апр 11, 2005 6:20 am

Сообщение JayKay » Чт июл 10, 2008 7:24 pm

garry писал(а):Что шумишь то?

Данная проблема никак не касается владельцев ВДС т.к. их ДНС сервера не используются в качестве кеширующих. Следовательно проблема в механизьмах кеширования никого не должна волновать.

Для тех редких клиентов кто с какой-то тайной целью всетаки пользуется свом ДНС сервером для кеширования, named будет централизовано обновлен в шаблонах.


Я как раз и "пошумел" для "тех редких клиентов кто с какой-то тайной целью всетаки пользуется свом ДНС сервером для кеширования".
Ну, а раз, будет обновлен, то и ахтунг не ахтунг.
JayKay
 
Сообщений: 0
Зарегистрирован: Чт июл 10, 2008 12:11 am

Сообщение garry » Пт июл 11, 2008 3:18 am

Такие редкие умельцы обычно сами opennet читают ...
garry
Консультант
 
Сообщений: 2241
Зарегистрирован: Сб дек 07, 2002 3:39 pm
Откуда: FirstVDS

Сообщение Sergey Shumov » Пн июл 14, 2008 1:31 pm

garry писал(а):Такие редкие умельцы обычно сами opennet читают ...

Читать то читаем. Просто очень интересно было узнать когда шаблончик обновится.
Sergey Shumov
 
Сообщений: 0
Зарегистрирован: Пн июл 14, 2008 12:07 pm

Сообщение garry » Вт июл 15, 2008 8:08 am

все уже обновлено
garry
Консультант
 
Сообщений: 2241
Зарегистрирован: Сб дек 07, 2002 3:39 pm
Откуда: FirstVDS


Вернуться в DNS

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2