Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
Сообщение от opennews (??) on 17-Янв-18, 13:31
Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости ([https://www.mail-archive.com/bind-announce@lists.isc.or...) (CVE-2017-3145 (https://security-tracker.debian.org/tracker/CVE-2017-3145)), которую можно использовать для инициирования отказа в обслуживании (крах процесса named) при выполнении рекурсивного запроса к DNS-серверу, подконтрольному злоумышленнику. Проблема проявляется только при работе BIND в качестве резолвера с поддержкой DNSSEC (в качестве обходного пути защиты можно отключить DNSSEC). Кроме того,  в очередном обновлении ISC DHCP также устранена у уязвимость (https://kb.isc.org/article/AA-01541) (CVE-2017-3144 (https://security-tracker.debian.org/tracker/CVE-2017-3144)), которую можно использовать для инициирования отказа в обслуживании (исчерпание  доступных сокетов) через наводнение специально оформленными соединениями к OMAPI, которые остаются незакрытыми. В качестве обходного пути защиты можно ограничить доступ к сетевому порту OMAPI. Разработчики из ISC также опубликовали (https://www.isc.org/blogs/meltdown/) отчёт с результатами тестирования влияния патчей  для устранения уязвимости  Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856) в ядре Linux (патчи KPTI) на производительность DNS-сервера с BIND 9. Для тестирования использовался сервер Dell R430  с 12-ядерным CPU Xeon E5-2680 v3 и 10-гигабитным Ethernet Intel X710, на который был установлен дистрибутив  Fedora 27 с ядром Linux 4.14.11-300.fc27.x86_64. Расхождения в производительности с защитой от Meltdown и без активации патча оцениваются как несущественные. URL: https://www.mail-archive.com/bind-announce@lists.isc.or... Новость: https://www.opennet.ru/opennews/art.shtml?num=47924
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+5 +/–
Сообщение от Аноним (??) on 17-Янв-18, 13:31
Да заbейте на потери производительности. Все равно лучше, чем 10 лет назад. А 10 лет назад мы не страдали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от Аноним (??) on 17-Янв-18, 13:56
	Если сервер немного старее пары поколений просадка значительная и нужно покупать АМД без просадок!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+4 +/–
	Сообщение от Аноним (??) on 17-Янв-18, 13:57
	> Да заbейте на потери производительности. Ну это как посмотреть, на локалхосте конечно незаметно. А на реальных боевых серверах еще как заментно. Например есть у кого нибудь сферический сервер PGSQL на 2х Зионах E2-233322 на многомного ядер, а тут бац и -25% производительности(по данным pgteam) патчем KPTI сняло...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	8. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	–3 +/–
	Сообщение от Аноним (??) on 17-Янв-18, 15:05
	И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	10. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+1 +/–
	Сообщение от leap42 (ok) on 17-Янв-18, 16:00
	> И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию... nopti же, чай не винда
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	15. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+1 +/–
	Сообщение от Аноним (??) on 17-Янв-18, 23:23
	Надо было назвать "yespwnzormysystemplease" вместо nopti. Чтобы понятнее было.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	19. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от Stax (ok) on 19-Янв-18, 20:46
	Да, в винде для того же самого ключ в реестре ставить надо - чай не линукс.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	20. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от виндотролль (ok) on 20-Янв-18, 22:46
	ключ небось называется HKLM/Microsoft/Windows/System/System32/Roaming/Local/Data/NT/4.0/e10575f3-c38e-452f-8723-77dd991381d4, имеет тип HEX и для отключения надо сменить 0xFF на 0xFE по смещению 0x39.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	14. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	–2 +/–
	Сообщение от pavlinux (ok) on 17-Янв-18, 18:56
	>  Но всем по умолчанию... омномномный анал литег, vmlinuz-4.14 nopti ....
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	6. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+2 +/–
	Сообщение от Аноним (??) on 17-Янв-18, 14:38
	10 лет назад мы не страдали, имея софт 10 летней давности.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	7. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от Andrey Mitrofanov on 17-Янв-18, 14:46
	> 10 лет назад мы не страдали, имея софт 10 летней давности. А без Meltdown-а-то как хорошо-то было-то!    Pentium DIV bug просвистел, пронесло-пронёсся.  Не задержался. https://duckduckgo.com/?q=ignorance+is&t=ffab&iax=images&ia=... https://www.fsfla.org/~lxoliva/fsfla/singular.en.pdf
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	16. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от bOOster (ok) on 19-Янв-18, 08:51
	Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты, обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не привязаны.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	17. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	–1 +/–
	Сообщение от bOOster (ok) on 19-Янв-18, 08:55
	> Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные > алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо > изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл > и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных > математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты, > обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не > привязаны. Обратите внимание - на очередной бред фильтров, и их настройщиков - эти слова являются неприемлимыми!! Первое ладно, а второе уже просто диктатура какая-то. Обычное слово п\о\делка тоже под цензурой. Прямое нарушение свободы слова. Просто пи\c\дец, маразм крепчает.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	9. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от iCat (ok) on 17-Янв-18, 15:13
	>...10 лет назад мы не страдали. 10 лет назад нагрузочи на DNS были в разы ниже...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	18. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от bOOster (ok) on 19-Янв-18, 11:19
	На ОДИН СЕРВЕР все было приблизительно также.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

4. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+8 +/–
Сообщение от умник on 17-Янв-18, 13:58
> через наводнение специально оформленными соединениями чтобы понять эту фразу, её надо обратно на английский перевести
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+10 +/–
	Сообщение от A.Stahl (ok) on 17-Янв-18, 14:03
	Сначала с неба посыпалась саранча, потом жабы а после и вовсе специально оформленные соединения. Прогневили админы Верховный Маршрутизатор...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
Сообщение от Аноним (??) on 17-Янв-18, 16:15
Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем без PTI.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от Аноним (??) on 17-Янв-18, 16:17
	Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем c PTI.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."	+/–
	Сообщение от Andrey Mitrofanov on 17-Янв-18, 16:36
	> Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без > PTI (голубой #1) латентность даже больше, чем c PTI. Да, он так и пишет: " The first pair of runs (the first done with KPTI, the second without) gave a surprising result – the latency at high query rates was about 8% lower with KPTI than without, when it was expected to be higher! " Но оно на то и _исследование_, чтобы копать глубже.  Исследователь сделал #2, где с PTI медленнее, как и положено, чем без PTI. Нужный результат достигнут, нужные выводы сделаны: " My conclusion therefore is that some other unidentified variable is responsible for the variability shown, [...]  that caused by the Meltdown mitigation patch (KPTI) which in turn appears to be relatively insignificant. "
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема