forum.opennet.ru - "Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода" (62)

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в DNS-сервере BIND, не исключающая удалённое выполнение кода"	+/–
Сообщение от opennews (?), 18-Фев-21, 10:32
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.28 и 9.16.12, а также находящейся в разработке экспериментальной ветки 9.17.10. В новых выпусках устранена уязвимость (CVE-2020-8625), приводящая к переполнению буфера и потенциально способная привести к удалённому выполнению кода злоумышленника. Следов наличия рабочих эксплоитов пока не выявлено... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54611
Ответить \| Правка \| Cообщить модератору

Оглавление

- системы, в настройках которых включено использование GSS-TSIG- BIND сочетается, Онаним (?), 10:32 , 18-Фев-21, (1) +1

Скрыто модератором, пох. (?), 10:35 , 18-Фев-21, (2) –14

Скрыто модератором, Онаним (?), 10:44 , 18-Фев-21, (3) +3
Скрыто модератором, Онаним (?), 10:44 , 18-Фев-21, (4) +3

Скрыто модератором, A.Stahl (ok), 10:46 , 18-Фев-21, (6) –1

Скрыто модератором, нежданчик (?), 11:03 , 18-Фев-21, (10) +1

Скрыто модератором, Аноним (9), 10:54 , 18-Фев-21, (9) +1

Скрыто модератором, пох. (?), 11:03 , 18-Фев-21, (11) –5

Скрыто модератором, ананим.orig (?), 11:42 , 18-Фев-21, (14) +6

Скрыто модератором, Страдивариус (?), 11:44 , 18-Фев-21, (16) +2

Скрыто модератором, пох. (?), 12:11 , 18-Фев-21, (20) –4

Скрыто модератором, Имя (?), 18:15 , 18-Фев-21, (37)

Скрыто модератором, Имя (?), 18:16 , 18-Фев-21, (38)
Скрыто модератором, пох. (?), 18:27 , 18-Фев-21, (42) –2

Скрыто модератором, RM (ok), 19:58 , 18-Фев-21, (47)

Скрыто модератором, ford1813 (ok), 12:12 , 18-Фев-21, (21)

Скрыто модератором, пох. (?), 12:33 , 18-Фев-21, (24)

Скрыто модератором, Онаним (?), 19:09 , 18-Фев-21, (43)

Скрыто модератором, Аноним (17), 11:46 , 18-Фев-21, (17) +2

Скрыто модератором, пох. (?), 12:22 , 18-Фев-21, (22) –1

Скрыто модератором, Дворник (??), 13:30 , 18-Фев-21, (27)
Скрыто модератором, Онаним (?), 19:11 , 18-Фев-21, (44) +1

а это уже очень частый случай , InuYasha (??), 11:07 , 18-Фев-21, (13) +1

ССЗБ - частый случай, да Самба - это виндопротокол Соответственно если хочется , Онаним (?), 14:04 , 18-Фев-21, (29)

вот nfs-то зашибись невендопротокол А ничего другого у вас - за тридцать лет не, пох. (?), 18:17 , 18-Фев-21, (39) +2

незвзди например есть https en wikipedia org wiki OpenAFS взяли в ядро между, СеменСеменыч777 (?), 05:18 , 19-Фев-21, (53) –1

Да там в рот берут все подряд, если это от IBM Ненужная поделка от CMU, пятое и, пох. (?), 15:12 , 19-Фев-21, (55) –1

Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы, Аноним (-), 10:46 , 18-Фев-21, (5) –4

Лет через 100-100500 , Онаним (?), 10:48 , 18-Фев-21, (7) +2
Прежде чем переписывать что то на раст, надо сам раст проверить А вдруг он вком, Аноним (-), 10:53 , 18-Фев-21, (8) +1

Да о чём ты говоришь - каждый второй анон свой русский без чекера проверить не м, InuYasha (??), 11:06 , 18-Фев-21, (12) +1

Чекер, анон - да тут знатоки русского в чатике Любите Родину, мать вашу , Страдивариус (?), 11:43 , 18-Фев-21, (15)

Чатик от знатока русского в месте для обмена болтовнёй - тоже так себе , Онаним (?), 14:06 , 18-Фев-21, (30)
а также свитчи, роутеры и фаерволлы А ТО когда родина начнет производить свои к, СеменСеменыч777 (?), 23:31 , 20-Фев-21, (58)

Русьтелетех и другие ИВК Кольчуга Давайте размышлять и радоваться разом,посколь, Michael Shigorin (ok), 23:45 , 20-Фев-21, (59)

я посмотрел по первому впечатлению - распильщики подфуражечные на открытом рынк, СеменСеменыч777 (?), 15:30 , 21-Фев-21, (60)

К слову об отрытом рынке http t me rufuturism 19937http itc ua blogs maria, Michael Shigorin (ok), 17:28 , 21-Фев-21, (61)

вскрыватели покровов разоблачили главную тайну силиконовой долины ой все а в эт, СеменСеменыч777 (?), 15:56 , 22-Фев-21, (62)

Че за силиконовая долина такая Кремниевую знаю, а вот силиконовую звучит как, Fractal cucumber (??), 21:36 , 07-Мрт-21, (63)

Нуу что-то и лишняя запятая после будет хотя там и авторское тире вполне го, Michael Shigorin (ok), 13:06 , 18-Фев-21, (26)

Для начала пусть себе чтоли хоть кодогенератор с оптимизации на расте напишут А, Аноним (17), 11:49 , 18-Фев-21, (19)

Я тебе больше скажу, они намеренно не хотят с Libc уходить чтобы не писать свою , Аноним (57), 20:26 , 19-Фев-21, (57)

Они уже переписывали бинд10 на питон Получилось такое энтерпрайз монстрило, что, Аноним (17), 11:48 , 18-Фев-21, (18) +1

Вы не понимаете - парадигма переписания на хрусте вообще не предполагает что что, пох. (?), 12:24 , 18-Фев-21, (23) +5

Неформальное движение RiiR получило финансирование от Google https security g, Ordu (ok), 16:39 , 18-Фев-21, (32)
Вы опять вот неправильно понимаете парадигму раст Правильно было бы спросить - г, пох. (?), 18:23 , 18-Фев-21, (40)

Да, только хотел сказать, что уже давно пишут, а тут опередил меня В целом-то ис, Аноним (51), 01:34 , 19-Фев-21, (51)

В хайпе, привлечении внимания и статьях в прессу - нет Мы не IT компания, наши , пох. (?), 15:15 , 19-Фев-21, (56)

Предложил правку новости, поскольку --- --disable-isc-spnego --- http package, Michael Shigorin (ok), 13:05 , 18-Фев-21, (25)
Это как , Какаянахренразница (ok), 13:38 , 18-Фев-21, (28) +2

Это untested Вроде наверное как бы может быть и можно, но механика не вполне оче, Онаним (?), 14:08 , 18-Фев-21, (31) +1
Это исключение из закона исключённого третьего Доказать, что уязвимость может б, Ordu (ok), 16:41 , 18-Фев-21, (33) +3

Под такое исключение подпадает ЛЮБОЙ софт Наличие багов не доказано, отсутств, Какаянахренразница (ok), 17:39 , 18-Фев-21, (36) +3

Хыхы, да Это одна из причин, почему я ратую за отмену закона исключённого треть, Ordu (ok), 20:16 , 18-Фев-21, (48)

BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет , Хартман (?), 17:19 , 18-Фев-21, (35)

чего это вдруг Шиарная стая блох из под powerdns несколько лет назад была вытря, пох. (?), 18:26 , 18-Фев-21, (41)

PowerDNS второй после бинда по популярности, так что неудиален что его переодиче, Хартман (?), 00:18 , 19-Фев-21, (50) +1

А есть аналог bind Если он с дырками, то должны быть альтернативы, я просто не , Аноним (45), 19:23 , 18-Фев-21, (45)

аналогов по фичсету нет если хочется вот прямо unbreakable , то есть https en, СеменСеменыч777 (?), 19:45 , 18-Фев-21, (46)
BIND практически безальтернативен, так как самый популярный и фитчастый к сло, Хартман (?), 00:16 , 19-Фев-21, (49)

Нужно ли это обновлять на десктопе или пох , Аноним (52), 01:38 , 19-Фев-21, (52) +4

Не знаю В бубунте у меня прям с утра патч прилетел , Брат Анон (ok), 10:13 , 19-Фев-21, (54)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +1 +/–

Сообщение от Онаним (?), 18-Фев-21, 10:32

- системы, в настройках которых включено использование GSS-TSIG
- BIND сочетается с контроллерами домена Active Directory
Мимо, мимо...

Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором –14 +/–

Сообщение от пох. (?), 18-Фев-21, 10:35

Да, твои 2019 вне опасносте. Страдать будут лишь васяны, полезшие со своим шва6одным софтом заменять нормальный энтерпрайзный.

Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором +3 +/–

Сообщение от Онаним (?), 18-Фев-21, 10:44

И анально огороженные локалками 2019 вне опасности, и публичные серверы на BIND вне опасности :)

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором +3 +/–

Сообщение от Онаним (?), 18-Фев-21, 10:44

Главное - да, пиво с водкой не мешать :D

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. Скрыто модератором –1 +/–

Сообщение от A.Stahl (ok), 18-Фев-21, 10:46

>пиво с водкой ... мешать
Какое варварство. Конечно не мешать: сначала водка, а потом пиво.

Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором +1 +/–

Сообщение от нежданчик (?), 18-Фев-21, 11:03

ну всЁ. меня развезло. даже на opennet'е никому нельзя верить. ZZzzzz....

Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором +1 +/–

Сообщение от Аноним (9), 18-Фев-21, 10:54

А чего тебя так бомбит от шва6одного софта? Он над тобой надругался?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. Скрыто модератором –5 +/–

Сообщение от пох. (?), 18-Фев-21, 11:03

А чего ж он г-но-то такое?!
И ладно б лежал тихо в своей ненужно-нише - лезет же ж "поддерживать" то, чего толком не умеет и не будет.
P.S. у меня есть пара 2008R2 с public dns - пока никто не умер.

Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором +6 +/–

Сообщение от ананим.orig (?), 18-Фев-21, 11:42

это ты на опеннет пришел, а не наоборот.
> P.S. у меня...
угу, неуловимый джо.

Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором +2 +/–

Сообщение от Страдивариус (?), 18-Фев-21, 11:44

Я вас попрошу! Неуловимый некрофил Джо! 2008R2 в конце концов!

Ответить | Правка | Наверх | Cообщить модератору

20. Скрыто модератором –4 +/–

Сообщение от пох. (?), 18-Фев-21, 12:11

ну так они и работают примерно с того самого 2008го.
А поскольку ни разу не шва6одные - апгрейд того - деньгов стоит.
Пока там нет страшных и ужасных увизгвимостей в том dns - не вижу никакого смысла платить.

Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором +/–

Сообщение от Имя (?), 18-Фев-21, 18:15

>Пока там нет страшных и ужасных увизгвимостей в том dns
а откуда вы знаете, что их там нет?

Ответить | Правка | Наверх | Cообщить модератору

38. Скрыто модератором +/–

Сообщение от Имя (?), 18-Фев-21, 18:16

пардон, вижу, уже обсудили ниже.

Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором –2 +/–

Сообщение от пох. (?), 18-Фев-21, 18:27

Визга истеричек не слышу же ж!

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

47. Скрыто модератором +/–

Сообщение от RM (ok), 18-Фев-21, 19:58

я тоже удивился, как насчет
CVE-2020-1350 Remote Code Execution Critical
CVE-2021-24078 Remote Code Execution Critical

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

21. Скрыто модератором +/–

Сообщение от ford1813 (ok), 18-Фев-21, 12:12

То есть по вашему в 2008R2 нет уязвимостей?
Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют.
Хорошо иметь ПО с закрытым кодом, нет необходимости говорить про уязвимости ибо вам про них никто не расскажет, а если никто не расскажет значит и уязвимости нет?)))

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

24. Скрыто модератором +/–

Сообщение от пох. (?), 18-Фев-21, 12:33

> То есть по вашему в 2008R2 нет уязвимостей?
существенных для меня - полагаю, на два порядке меньше чем в коде написанном одноразовыми аспирантами ISC.
> Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют.
авторы помянутых sasser и blaster как-то обошлись без публикаций (хотя, вероятно, не обошлись без дизассемблирования патчей, поскольку появились эти троянцы именно после, а не до появления соответствующих фиксов)

Ответить | Правка | Наверх | Cообщить модератору

43. Скрыто модератором +/–

Сообщение от Онаним (?), 18-Фев-21, 19:09

Ну если я пару десятков тысяч доменов публичных на божественную виндузу добавлю - ей сильно поплохеет.
Либо мне придётся эту виндузу расплодить в очень большом количестве.
Или если я пару сотен тысяч клиентов на неё пущу.
ISP, угу.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

17. Скрыто модератором +2 +/–

Сообщение от Аноним (17), 18-Фев-21, 11:46

> Страдать будут лишь васяны, полезшие со своим шва6одным софтом
> заменять нормальный энтерпрайзный.
Ты так говоришь, как будто в винде дыреней не бывает. У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было, при том последний из могикан прошибал ВСЕ, от десятки до икспы. Может и винтукея, просто не проверял никто. Я правда не понимаю как, говорят что снаряд в одну воронку не попадает. А тут раз 5 - в один несчастный lsass, один несчастный протокол? :)

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. Скрыто модератором –1 +/–

Сообщение от пох. (?), 18-Фев-21, 12:22

> Ты так говоришь, как будто в винде дыреней не бывает.
бывают, конечно, только вот конкретно продукты ISC - это полное днище, с самого их появления и до сегодняшних дней.
> У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было
ничего что это ms rpc? У вас ничего похожего нет и никогда не было.
Впрочем - рискнешь ли ты выставить голой сракой наружу обычный, sun rpc? Поводов для этого, надо заметить, поболее будет, поскольку в отличие от ms'овского он застревает в файвроллах. (точнее, бывало, поскольку нынче вымер использовавший его софт, кроме nfs, подпертого кривым костылем)
В пресловутые нулевые, когда появился blast, sun'овский rpc только ленивый не ломал. С тех пор, полагаю, не софт стал качественней, а sun rpc умер вместе с nfs'ами, превратившись в неуловимого джо. Заменившись, кстати, угадай чем?

Ответить | Правка | Наверх | Cообщить модератору

27. Скрыто модератором +/–

Сообщение от Дворник (??), 18-Фев-21, 13:30

> Заменившись, кстати, угадай чем?
SSH-ем?

Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором +1 +/–

Сообщение от Онаним (?), 18-Фев-21, 19:11

> ничего что это ms rpc? У вас ничего похожего нет и никогда не было.
И никогда не надо. HTTPS+JSON наше всё.
Баг в RPC, эксплоит которого впоследствии назвали msblast'ом, кстати я одним из первых обнаружил.
Намылил в MS. Через неделю получил ответ "инвестигируем". Ещё через месяц - "да ничего страшного, бежим дальше". Ну и вот. А через полгода вопили все.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

13. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +1 +/–

Сообщение от InuYasha (??), 18-Фев-21, 11:07

> при интеграции с Samba.
а это уже очень частый случай.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

29. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Онаним (?), 18-Фев-21, 14:04

ССЗБ - частый случай, да.
Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и прочее - куда надёжнее юзать таки божественные 10 и 2019.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +2 +/–

Сообщение от пох. (?), 18-Фев-21, 18:17

> ССЗБ - частый случай, да.
> Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и
> прочее - куда надёжнее юзать таки божественные 10 и 2019.
вот nfs-то зашибись невендопротокол. А ничего другого у вас - за тридцать лет не родилось. Одни костыли,подпорки и вот, лучший из них - краденая идея сасамбы.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." –1 +/–

Сообщение от СеменСеменыч777 (?), 19-Фев-21, 05:18

> А ничего другого у вас - за тридцать лет не родилось
незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." –1 +/–

Сообщение от пох. (?), 19-Фев-21, 15:12

>> А ничего другого у вас - за тридцать лет не родилось
> незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).
Да там в рот берут все подряд, если это от IBM. Ненужная поделка от CMU, пятое или какое там по счету воплощение.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." –4 +/–

Сообщение от Аноним (-), 18-Фев-21, 10:46

Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +2 +/–

Сообщение от Онаним (?), 18-Фев-21, 10:48

Лет через 100-100500.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +1 +/–

Сообщение от Аноним (-), 18-Фев-21, 10:53

Прежде чем переписывать что то на раст, надо сам раст проверить. А вдруг он вкомпилирует ошибку, тогда много чего придется перекомпилировать. А назад уже дороги не будет, к ламповому С, в котором сам свои ошибки проверять можешь/должен.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

12. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +1 +/–

Сообщение от InuYasha (??), 18-Фев-21, 11:06

> сам свои ошибки проверять можешь/должен.
Да о чём ты говоришь - каждый второй анон свой русский без чекера проверить не может.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Страдивариус (?), 18-Фев-21, 11:43

Чекер, анон - да тут знатоки русского в чатике! Любите Родину, мать вашу!

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Онаним (?), 18-Фев-21, 14:06

Чатик от знатока русского в месте для обмена болтовнёй - тоже так себе.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от СеменСеменыч777 (?), 20-Фев-21, 23:31

> Чекер, анон -
а также свитчи, роутеры и фаерволлы.
> да тут знатоки русского в чатике!
А ТО !
> Любите Родину, мать вашу!
когда родина начнет производить свои коммутаторы, машрутизаторы и брандмауэры - тогда можно будет об этом подумать.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

59. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Michael Shigorin (ok), 20-Фев-21, 23:45

>> Любите Родину, мать вашу!
> когда родина начнет производить свои коммутаторы, машрутизаторы
> и брандмауэры - тогда можно будет об этом подумать.
Русьтелетех и другие; ИВК Кольчуга.
Давайте размышлять и радоваться разом,
поскольку эта жизнь -- короткая, зараза...

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от СеменСеменыч777 (?), 21-Фев-21, 15:30

> Русьтелетех и другие; ИВК Кольчуга.
я посмотрел. по первому впечатлению - распильщики подфуражечные.
на открытом рынке разумеется неконкурентоспособны. на этом все.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Michael Shigorin (ok), 21-Фев-21, 17:28

> на открытом рынке разумеется неконкурентоспособны. на этом все.
К слову об "отрытом рынке":
http://t.me/rufuturism/19937
http://itc.ua/blogs/mariannu-maczczukato-istinnyj-dvigatel-i.../
Sapienti sat.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от СеменСеменыч777 (?), 22-Фев-21, 15:56

вскрыватели покровов разоблачили главную тайну силиконовой долины. ой все.
а в этой стране силиконовй долины нет и не будет. потому что.
вот по теме "как создавалась советская микроэлектроника и Зеленоград" пишут:
1) советский инженер http://lit.lib.ru/g/galxperin_m_p/galperin.shtml
2) несоветский неинженер https://galkovsky.ru/upravda/archive/129.html
делайте выводы.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Fractal cucumber (??), 07-Мрт-21, 21:36

Че за силиконовая долина такая? Кремниевую знаю, а вот силиконовую... звучит как-то пошло...

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Michael Shigorin (ok), 18-Фев-21, 13:06

Нуу "что-то" и лишняя запятая после "будет" (хотя там и авторское тире вполне годится) -- можно было и подсказать. :-)

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

19. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Аноним (17), 18-Фев-21, 11:49

Для начала пусть себе чтоли хоть кодогенератор с оптимизации на расте напишут. А то дергают 60-метровую сиплюсплюсную либу чтобы из растишки код сгенерить - и лечат как плюсы плохи. ХЫ.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

57. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Аноним (57), 19-Фев-21, 20:26

>риторика "Вы сами"
Я тебе больше скажу, они намеренно не хотят с Libc уходить чтобы не писать свою такую же.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +1 +/–

Сообщение от Аноним (17), 18-Фев-21, 11:48

> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы
Они уже переписывали бинд10 на питон. Получилось такое энтерпрайз монстрило, что, кажется, желающих им пользоваться вообще не вылупилось. Могу себе представить что они с хрустом зарелизят.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

23. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +5 +/–

Сообщение от пох. (?), 18-Фев-21, 12:24

Вы не понимаете - парадигма переписания на хрусте вообще не предполагает что что-то зарелизят. В этом, безусловно, и кроется секрет успеха, ведь код, который еще нигде не используется, совершенно безопастен.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Ordu (ok), 18-Фев-21, 16:39

> Когда же все перепишут на раст
Неформальное движение RiiR получило финансирование от Google: https://security.googleblog.com/2021/02/mitigating-memory-sa...
Так что уже скоро. Надо только подождать.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

40. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от пох. (?), 18-Фев-21, 18:23

> Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы
Вы опять вот неправильно понимаете парадигму раст.
Правильно было бы спросить - где уже _переписывают_. Вот, например, здесь: https://github.com/ctz/rustls
уже достигли невиданных успехов в хайпе, привлечении внимания и статьях в прессу.
А, да. Шифрования там не ищите, им там пресловутый ring занимается. Со всеми вытекающими.
Но asn1 парсер - зуб дают, безопастен! Когда-нибудь будет.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

51. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Аноним (51), 19-Фев-21, 01:34

Да, только хотел сказать, что уже давно пишут, а тут опередил меня.
В целом-то использовать или нет старый софт компании сами выбирают.
Те которые имеют на своем борту инженеров не только конфигурационных,
но и умеющих разрабатывать софт уже делают быстрее, лучше, надежнее
и т.д.
А вы почему спрашиваете у Вас в компании тоже есть потребность?

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от пох. (?), 19-Фев-21, 15:15

> А вы почему спрашиваете у Вас в компании тоже есть потребность?
В хайпе, привлечении внимания и статьях в прессу - нет. Мы не IT компания, наши акции от этого не вырастут. Да и не public они ни разу.
А работающий dns сервер у нас и так есть. Не, не bind ни разу.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Michael Shigorin (ok), 18-Фев-21, 13:05

Предложил правку новости, поскольку:
---
--disable-isc-spnego \
--- http://packages.altlinux.org/ru/p9/specfiles/bind
Не все дистрибутивы одинаково полезны (ц)
PS: хотя на днях даже от астры такая могучая польза на публику вылезла, что ни в сказке сказать, ни пером описать; и я даже сошлюсь на LOR, знакомые с которого её раскопали: http://www.linux.org.ru/news/opensource/16158350

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +2 +/–

Сообщение от Какаянахренразница (ok), 18-Фев-21, 13:38

> уязвимость, не исключающая
> ...
> уязвимость, потенциально способная привести
Это как?

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +1 +/–

Сообщение от Онаним (?), 18-Фев-21, 14:08

Это untested.
Вроде наверное как бы может быть и можно, но механика не вполне очевидна, и поэтому пруфа оф концепта пока не существует. Может да, а может и нет.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +3 +/–

Сообщение от Ordu (ok), 18-Фев-21, 16:41

> Это как?
Это исключение из закона исключённого третьего. Доказать, что уязвимость может быть эксплуатирована для выполнения произвольного кода не удалось. И опровергнуть тоже не удалось. Может просто потому, что никто особо не заморачивался. Да и какая нахрен разница?

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

36. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +3 +/–

Сообщение от Какаянахренразница (ok), 18-Фев-21, 17:39

Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже.
Как сказал академик Кадыров, "а ты докажи, что не аллах".

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Ordu (ok), 18-Фев-21, 20:16

> Под такое "исключение" подпадает ЛЮБОЙ софт. Наличие багов не доказано, отсутствие -- тоже.
Хыхы, да. Это одна из причин, почему я ратую за отмену закона исключённого третьего: если всё оказывается исключением, то это не исключение, а правило. Скорее надо первые два исключить, потому что они совершенно нереалистичны и встречаются лишь в качестве исключения.
Но здесь всё ж ситуация несколько иная. Наличие бага доказано. Не понятен диаметр получившейся дыры.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Хартман (?), 18-Фев-21, 17:19

BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет дыр

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от пох. (?), 18-Фев-21, 18:26

> BIND похоже единственный DNS-сервер код которого хоть как то аудитят на предмет
> дыр
чего это вдруг? Шиарная стая блох из под powerdns несколько лет назад была вытрясена.
Потом, наверное, и правда всем надоело.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +1 +/–

Сообщение от Хартман (?), 19-Фев-21, 00:18

PowerDNS второй после бинда по популярности, так что неудиален что его переодически латают

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Аноним (45), 18-Фев-21, 19:23

А есть аналог bind? Если он с дырками, то должны быть альтернативы, я просто не в теме.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от СеменСеменыч777 (?), 18-Фев-21, 19:45

аналогов по фичсету нет.
если хочется вот прямо "unbreakable", то есть
https://en.wikipedia.org/wiki/Djbdns

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Хартман (?), 19-Фев-21, 00:16

BIND практически безальтернативен, так как самый популярный и фитчастый... к слову баги есть в любом DNS сервере, просто в бинде их находят и латают, а в других хер кладут

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

52. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +4 +/–

Сообщение от Аноним (52), 19-Фев-21, 01:38

Нужно ли это обновлять на десктопе или пох?

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..." +/–

Сообщение от Брат Анон (ok), 19-Фев-21, 10:13

Не знаю. В бубунте у меня прям с утра патч прилетел.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	+1 +/–
Сообщение от Онаним (?), 18-Фев-21, 10:32
- системы, в настройках которых включено использование GSS-TSIG - BIND сочетается с контроллерами домена Active Directory Мимо, мимо...
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. Скрыто модератором	–14 +/–
	Сообщение от пох. (?), 18-Фев-21, 10:35
	Да, твои 2019 вне опасносте. Страдать будут лишь васяны, полезшие со своим шва6одным софтом заменять нормальный энтерпрайзный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. Скрыто модератором	+3 +/–
	Сообщение от Онаним (?), 18-Фев-21, 10:44
	И анально огороженные локалками 2019 вне опасности, и публичные серверы на BIND вне опасности :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. Скрыто модератором	+3 +/–
	Сообщение от Онаним (?), 18-Фев-21, 10:44
	Главное - да, пиво с водкой не мешать :D
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	6. Скрыто модератором	–1 +/–
	Сообщение от A.Stahl (ok), 18-Фев-21, 10:46
	>пиво с водкой ... мешать Какое варварство. Конечно не мешать: сначала водка, а потом пиво.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. Скрыто модератором	+1 +/–
	Сообщение от нежданчик (?), 18-Фев-21, 11:03
	ну всЁ. меня развезло. даже на opennet'е никому нельзя верить. ZZzzzz....
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. Скрыто модератором	+1 +/–
	Сообщение от Аноним (9), 18-Фев-21, 10:54
	А чего тебя так бомбит от шва6одного софта? Он над тобой надругался?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	11. Скрыто модератором	–5 +/–
	Сообщение от пох. (?), 18-Фев-21, 11:03
	А чего ж он г-но-то такое?! И ладно б лежал тихо в своей ненужно-нише - лезет же ж "поддерживать" то, чего толком не умеет и не будет. P.S. у меня есть пара 2008R2 с public dns - пока никто не умер.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. Скрыто модератором	+6 +/–
	Сообщение от ананим.orig (?), 18-Фев-21, 11:42
	это ты на опеннет пришел, а не наоборот. > P.S. у меня... угу, неуловимый джо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. Скрыто модератором	+2 +/–
	Сообщение от Страдивариус (?), 18-Фев-21, 11:44
	Я вас попрошу! Неуловимый некрофил Джо! 2008R2 в конце концов!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. Скрыто модератором	–4 +/–
	Сообщение от пох. (?), 18-Фев-21, 12:11
	ну так они и работают примерно с того самого 2008го. А поскольку ни разу не шва6одные - апгрейд того - деньгов стоит. Пока там нет страшных и ужасных увизгвимостей в том dns - не вижу никакого смысла платить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. Скрыто модератором	+/–
	Сообщение от Имя (?), 18-Фев-21, 18:15
	>Пока там нет страшных и ужасных увизгвимостей в том dns а откуда вы знаете, что их там нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. Скрыто модератором	+/–
	Сообщение от Имя (?), 18-Фев-21, 18:16
	пардон, вижу, уже обсудили ниже.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. Скрыто модератором	–2 +/–
	Сообщение от пох. (?), 18-Фев-21, 18:27
	Визга истеричек не слышу же ж!
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	47. Скрыто модератором	+/–
	Сообщение от RM (ok), 18-Фев-21, 19:58
	я тоже удивился, как насчет CVE-2020-1350 Remote Code Execution Critical CVE-2021-24078 Remote Code Execution Critical
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	21. Скрыто модератором	+/–
	Сообщение от ford1813 (ok), 18-Фев-21, 12:12
	То есть по вашему в 2008R2 нет уязвимостей? Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют. Хорошо иметь ПО с закрытым кодом, нет необходимости говорить про уязвимости ибо вам про них никто не расскажет, а если никто не расскажет значит и уязвимости нет?)))
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	24. Скрыто модератором	+/–
	Сообщение от пох. (?), 18-Фев-21, 12:33
	> То есть по вашему в 2008R2 нет уязвимостей? существенных для меня - полагаю, на два порядке меньше чем в коде написанном одноразовыми аспирантами ISC. > Я думаю их там полно, просто их не обсуждают - ибо о них почти ничего не публикуют. авторы помянутых sasser и blaster как-то обошлись без публикаций (хотя, вероятно, не обошлись без дизассемблирования патчей, поскольку появились эти троянцы именно после, а не до появления соответствующих фиксов)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. Скрыто модератором	+/–
	Сообщение от Онаним (?), 18-Фев-21, 19:09
	Ну если я пару десятков тысяч доменов публичных на божественную виндузу добавлю - ей сильно поплохеет. Либо мне придётся эту виндузу расплодить в очень большом количестве. Или если я пару сотен тысяч клиентов на неё пущу. ISP, угу.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	17. Скрыто модератором	+2 +/–
	Сообщение от Аноним (17), 18-Фев-21, 11:46
	> Страдать будут лишь васяны, полезшие со своим шва6одным софтом > заменять нормальный энтерпрайзный. Ты так говоришь, как будто в винде дыреней не бывает. У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было, при том последний из могикан прошибал ВСЕ, от десятки до икспы. Может и винтукея, просто не проверял никто. Я правда не понимаю как, говорят что снаряд в одну воронку не попадает. А тут раз 5 - в один несчастный lsass, один несчастный протокол? :)
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	22. Скрыто модератором	–1 +/–
	Сообщение от пох. (?), 18-Фев-21, 12:22
	> Ты так говоришь, как будто в винде дыреней не бывает. бывают, конечно, только вот конкретно продукты ISC - это полное днище, с самого их появления и до сегодняшних дней. > У них там в этом самом и рядом - одних только подвидов MSBLAST-а штук наверное пять было ничего что это ms rpc? У вас ничего похожего нет и никогда не было. Впрочем - рискнешь ли ты выставить голой сракой наружу обычный, sun rpc? Поводов для этого, надо заметить, поболее будет, поскольку в отличие от ms'овского он застревает в файвроллах. (точнее, бывало, поскольку нынче вымер использовавший его софт, кроме nfs, подпертого кривым костылем) В пресловутые нулевые, когда появился blast, sun'овский rpc только ленивый не ломал. С тех пор, полагаю, не софт стал качественней, а sun rpc умер вместе с nfs'ами, превратившись в неуловимого джо. Заменившись, кстати, угадай чем?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. Скрыто модератором	+/–
	Сообщение от Дворник (??), 18-Фев-21, 13:30
	> Заменившись, кстати, угадай чем? SSH-ем?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. Скрыто модератором	+1 +/–
	Сообщение от Онаним (?), 18-Фев-21, 19:11
	> ничего что это ms rpc? У вас ничего похожего нет и никогда не было. И никогда не надо. HTTPS+JSON наше всё. Баг в RPC, эксплоит которого впоследствии назвали msblast'ом, кстати я одним из первых обнаружил. Намылил в MS. Через неделю получил ответ "инвестигируем". Ещё через месяц - "да ничего страшного, бежим дальше". Ну и вот. А через полгода вопили все.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	13. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	+1 +/–
	Сообщение от InuYasha (??), 18-Фев-21, 11:07
	> при интеграции с Samba. а это уже очень частый случай.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	29. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	+/–
	Сообщение от Онаним (?), 18-Фев-21, 14:04
	ССЗБ - частый случай, да. Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и прочее - куда надёжнее юзать таки божественные 10 и 2019.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	+2 +/–
	Сообщение от пох. (?), 18-Фев-21, 18:17
	> ССЗБ - частый случай, да. > Самба - это виндопротокол. Соответственно если хочется его с DNS интегрировать и > прочее - куда надёжнее юзать таки божественные 10 и 2019. вот nfs-то зашибись невендопротокол. А ничего другого у вас - за тридцать лет не родилось. Одни костыли,подпорки и вот, лучший из них - краденая идея сасамбы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	–1 +/–
	Сообщение от СеменСеменыч777 (?), 19-Фев-21, 05:18
	> А ничего другого у вас - за тридцать лет не родилось незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	–1 +/–
	Сообщение от пох. (?), 19-Фев-21, 15:12
	>> А ничего другого у вас - за тридцать лет не родилось > незвзди. например есть https://en.wikipedia.org/wiki/OpenAFS (взяли в ядро между прочим). Да там в рот берут все подряд, если это от IBM. Ненужная поделка от CMU, пятое или какое там по счету воплощение.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	–4 +/–
Сообщение от Аноним (-), 18-Фев-21, 10:46
Когда же все перепишут на раст, там чекер перепроверяет даже алгоритмы
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	+2 +/–
	Сообщение от Онаним (?), 18-Фев-21, 10:48
	Лет через 100-100500.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в DNS-сервере BIND, не исключающая удалённое выпо..."	+1 +/–
	Сообщение от Аноним (-), 18-Фев-21, 10:53
	Прежде чем переписывать что то на раст, надо сам раст проверить. А вдруг он вкомпилирует ошибку, тогда много чего придется перекомпилировать. А назад уже дороги не будет, к ламповому С, в котором сам свои ошибки проверять можешь/должен.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору