Обновление DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3 с устранением уязвимости

30.09.2016 10:05

Консорциум ISC представил новые выпуски DNS-сервера BIND 9.9.9-P3 и 9.10.4-P3, в которых устранена уязвимость (CVE-2016-2776), позволяющая вызвать отказ в обслуживании, инициировав крах процесса-обработчика через отправку специально оформленного запроса. Проблеме подвержены все выпуски BIND ветки 9.x. Уязвимость проявляется даже если запрос поступил с IP-адреса, не имеющего прав отправки запросов и не подпадающего под правила allow-query.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45248-bind

Ключевые слова: bind, dns

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, Аноним (-), 10:07, 30/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
BIND опять привет... ISC DHCP и Tea тоже не отвечает качеству и не стоит не доллара.

2.8, пох (?), 12:47, 30/09/2016 [^] [^^] [^^^] [ответить]

–3 +/–

> ISC DHCP и Tea тоже не отвечает качеству и не стоит не доллара.

вот потому что ты за них и рубля не заплатил - и не отвечает.

Смешнее то, что поделок а-ля dhcp еще каких-то поналепили (обычно узкоспециализированных, поэтому приходится как базовый использовать по прежнему isc'шный), а адекватной замены bind нет по сей день.

Я даже согласен на вариант с раздельным cache/authoritative, но не в виде же unbound, мля.

3.9, Michael Shigorin (ok), 14:37, 30/09/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> вот потому что ты за них и рубля не заплатил - и не отвечает. Вас же не затруднит привести пример реализации, за которую следует платить и которая при этом отвечает в большей мере?

3.10, Аноним (-), 14:57, 30/09/2016 [^] [^^] [^^^] [ответить]	+/–
А powerdns чем не устраивает?

4.12, Sw00p aka Jerom (?), 15:05, 30/09/2016 [^] [^^] [^^^] [ответить]	+/–
> А powerdns чем не устраивает? комплекс неосилятора искать альтернативы.

3.11, Sw00p aka Jerom (?), 15:04, 30/09/2016 [^] [^^] [^^^] [ответить]

+1 +/–

>> а адекватной замены bind нет по сей день.

бред какой-то несёте, никогда не пользовался биндом, nsd+unbound, powerdns+powerdns-recursor. В продакшене лет 10 как.

4.14, xm (ok), 16:13, 30/09/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Ну я, положим, ещё BIND попользовал ещё начиная с 4 версии, но последние годы Unbound + NSD делают своё дело более чем достойно.

5.23, й (?), 01:07, 02/10/2016 [^] [^^] [^^^] [ответить]	+/–
эм, а какой нынче аналог zones в unbound+nsd?

1.2, A.Stahl (ok), 10:07, 30/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>BIND 9.9.9 Надо было 10 версию выпускать. Нынче мода на версию №10.

2.3, Аноним (-), 10:09, 30/09/2016 [^] [^^] [^^^] [ответить]	+/–
В 10 еще больше багов включая и баги DHCP

1.4, Michael Shigorin (ok), 10:35, 30/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ping of death

2.17, iCat (ok), 04:47, 01/10/2016 [^] [^^] [^^^] [ответить]	+/–
>ping of death "Мало кто может... не только лишь все" :) Миха, у тебя нет бороды по пояс? Может быть, ты помнишь ту последовательность символов, которую можно записать в текстовый файл с раширением COM, а потом этот com швыряет комп в ребут?

3.19, Michael Shigorin (ok), 11:31, 01/10/2016 [^] [^^] [^^^] [ответить]

+1 +/–

>>ping of death
> "Мало кто может... не только лишь все" :)

Технически говоря, эти слова применительно к этой уязвимости у нас произнёс ldv@, но я их тоже помню.

> Миха, у тебя нет бороды по пояс?

Не-а.

> Может быть, ты помнишь ту последовательность символов, которую можно записать
> в текстовый файл с раширением COM, а потом этот com швыряет комп в ребут?

У нас на кружке таким другие по большей части занимались с четверть века тому. :)

1.5, Аноним (-), 10:54, 30/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Кто-нибудь в курсе, когда для Debian 7 пофиксят BIND 9.8? https://security-tracker.debian.org/tracker/CVE-2016-2776

2.6, Аноним (-), 10:57, 30/09/2016 [^] [^^] [^^^] [ответить]	–4 +/–
Обновись до Debian 8 или ночнушку Deban 9

3.13, rt (??), 15:10, 30/09/2016 [^] [^^] [^^^] [ответить]	+/–
У вас там в дебиане все дома? Что бы обновить ПО, надо обновить версию ОС??

4.15, xm (ok), 16:15, 30/09/2016 [^] [^^] [^^^] [ответить]	+/–
В мире Линукс такое встречается.

4.16, Аноним (-), 03:25, 01/10/2016 [^] [^^] [^^^] [ответить]	+/–
Естественно, а вы не знали? Они называют это "стабильность".

2.18, sv (??), 11:30, 01/10/2016 [^] [^^] [^^^] [ответить]

+/–

Решил в своем зоопарке двумя способами:

1) Вручную собрть и поставить bind со всеми библиотеками и окружением из исходников. Гугл в помощь. Там ничего сложного. Ищите версию, где "pac" используется. Только советую сохранить предварительно из /etc и chroot все, что с ним связано, куда-нибудь - оно потом прекрасно подходит к установленному вручную. Это жесткий такой вариант, зато отвязывает от (... кхм...) немного тормозного и дерганого мэйнтенера пакетов. И я мэйнтенера понимаю. Применения политик дебиан к ортогональным им политикам создателя ПО - жесть жестяная.

2) Забить на bind и поставить nsd/powerdns или unbound/pdnsd для рекурсора (простейшие подмены и мелкие внутренние зонки в последнем делаются движением левой ноги).

3.20, Michael Shigorin (ok), 11:42, 01/10/2016 [^] [^^] [^^^] [ответить]	+/–
> вручную. Это жесткий такой вариант, зато отвязывает от (... кхм...) немного > тормозного и дерганого мэйнтенера пакетов. И я мэйнтенера понимаю. Надо понимать, что после такого действия локальным майнтейнером остаётесь только Вы, а до него есть шанс помочь майнтейнеру используемого дистрибутива (и другим, помимо себя).

4.22, sv (??), 15:20, 01/10/2016 [^] [^^] [^^^] [ответить]	+/–
А там bind доисторический. Некоторые патчи на него не натянуть почти никак. И ортогональность подхода в том, что в debian в пределах релиза будут задницу рвать, а стараться сохранить текущие версии софта, а вот у isc таки ограниченная по времени поддержка веток. Причём в пределах одной точки, п не

3.21, Аноним (-), 12:26, 01/10/2016 [^] [^^] [^^^] [ответить]	+/–
Все кроме Bind не умеют работать с Samba4 (Active Directory) - BIND_DLZ.

1.7, Аноним (-), 11:11, 30/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На Centos 7 уже прилетело.

Добавить комментарий

Текст: