"Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS "
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Обновление DNS-сервера BIND c устранением уязвимости в реализации DNS-over-HTTPS " | +/– |  |
| Сообщение от opennews (??), 18-Май-22, 22:48 | ||
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.28 и 9.18.3, а также новый выпуск экспериментальной ветки 9.19.1. В версиях 9.18.3 и 9.19.1 устранена уязвимость (CVE-2022-1183) в реализации механизма DNS-over-HTTPS, поддерживаемого начиная с ветки 9.18. Уязвимость приводит к аварийному завершению процесса named в случае, если TLS-соединение к обработчику на базе протокола HTTP будет досрочно оборвано. Проблема затрагивает только серверы, обслуживающие запросы DNS over HTTPS (DoH). Серверы, принимающие запросы по DNS over TLS (DoT) и не использующие DoH, проблеме не подвержены... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по ответам | RSS] |
| 1. Сообщение от Аноним (1), 18-Май-22, 22:48 | +4 +/– | |
Что-то не новость про Bind, так уязвимость. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #3, #4 | ||
| 3. Сообщение от Аноним (3), 18-Май-22, 22:54 | +4 +/– | |
Так было всегда. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 | ||
| 4. Сообщение от Аноним (4), 18-Май-22, 23:13 | +3 +/– | |
Неофициальное название проекта - BINDырень | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #1 Ответы: #10, #25 | ||
| 5. Сообщение от Аноним (5), 18-Май-22, 23:25 | +/– | |
Думаете DoH для вашей безпасности? Такие новости настораживают, напрашивается версия о бэкдоре... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #6, #8 | ||
| 6. Сообщение от Аноним (3), 18-Май-22, 23:30 | +1 +/– | |
Защита от пакостей человека посередине, ни о какой безопасности речи не было. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #5 Ответы: #9, #12 | ||
| 7. Сообщение от Аноним (7), 19-Май-22, 00:46 | +/– | |
Байнд нужен для того, чтобы свой днс-код было на чём тестировать. Для прода другое используется. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Ответы: #11, #13 | ||
| 8. Сообщение от Аноним (10), 19-Май-22, 01:22 | +/– | |
> Такие новости настораживают, напрашивается версия о бэкдоре... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #5 | ||
| 9. Сообщение от Аноним (10), 19-Май-22, 01:26 | +2 +/– | |
> Защита от пакостей человека посередине, ни о какой безопасности речи не было. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #6 | ||
| 10. Сообщение от Аноним (10), 19-Май-22, 01:28 | +/– | |
Есть ещё DHCPDырень и NTPDырень. Чуть менее популярны, но тоже регулярно радуют хакеров и пентестеров. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #4 Ответы: #15, #28 | ||
| 11. Сообщение от Аноним (10), 19-Май-22, 01:29 | +/– | |
В проде, как правило, PowerDNS или Knot. В качестве рекурсивного ещё можно unbound и dnsmasq встретить. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #7 Ответы: #20 | ||
| 12. Сообщение от борланд (?), 19-Май-22, 05:57 | +1 +/– | |
Dnssec, не? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #6 Ответы: #17 | ||
| 13. Сообщение от борланд (?), 19-Май-22, 06:00 | +/– | |
Тут прям все регистраторы с >100к зон? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #7 Ответы: #14, #18, #30 | ||
| 14. Сообщение от User (??), 19-Май-22, 06:35 | +2 +/– | |
Кришна с тобой! У большинства одна зона в ms dns, domain.local, AD integrated, вот это вот всё. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #13 | ||
| 15. Сообщение от ОноНим (?), 19-Май-22, 07:04 | –1 +/– | |
Самая популярная SystemDырень | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #10 Ответы: #16 | ||
| 16. Сообщение от Аноним (10), 19-Май-22, 09:31 | +6 +/– | |
Нет, системда и здесь в пролёте. Даже решeто нормально сделать не могут. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #15 Ответы: #19 | ||
| 17. Сообщение от Аноним (10), 19-Май-22, 09:33 | +2 +/– | |
DNSSEC, в отличие от DoH, не предоставляет такие богатые возможности для фигерпринтинга, деанонимизации и отслеживания клиента. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #12 Ответы: #38 | ||
| 18. Сообщение от Аноним (10), 19-Май-22, 09:34 | +1 +/– | |
> Тут прям все регистраторы с >100к зон? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #13 | ||
| 19. Сообщение от Аноним (10), 19-Май-22, 09:50 | +/– | |
У профессионалов ISC пинус гораздо длиннее, чем у Лёньки | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #16 Ответы: #21 | ||
| 20. Сообщение от Онаним (?), 19-Май-22, 10:21 | –7 +/– | |
Это когда полторы зоны обслуживается. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #11 Ответы: #24, #31 | ||
| 21. Сообщение от rshadow (ok), 19-Май-22, 10:35 | +/– |  |
Очевидно она содержит клиентов, которые на порядки проще чем серверная часть. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #19 Ответы: #22 | ||
| 22. Сообщение от Аноним (22), 19-Май-22, 11:10 | +/– | |
Systemd-resolved может работать как сервер DNS. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #21 Ответы: #23 | ||
| 23. Сообщение от Аноним (10), 19-Май-22, 11:32 | +/– | |
И systemd-networkd как сервер DHCP. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #22 | ||
| 24. Сообщение от Аноним (10), 19-Май-22, 11:34 | +2 +/– | |
> А когда их хотя бы пара тысяч - тут уже как-то на BIND всерьёз смотреть начинаешь. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #20 | ||
| 25. Сообщение от Andy (??), 19-Май-22, 14:13 | +1 +/– | |
Неофициальное название проекта - Buggy Internet Name Daemon | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #4 Ответы: #29 | ||
| 28. Сообщение от Аноним (28), 19-Май-22, 20:49 | +/– | |
Unboundырень же | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #10 Ответы: #36 | ||
| 29. Сообщение от microsoft (?), 19-Май-22, 21:24 | +/– | |
Но при этом никто из вас не предложил ни кода, ни аналогов с полной заменой по функционалу. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #25 Ответы: #35, #39 | ||
| 30. Сообщение от Аноним (30), 19-Май-22, 22:58 | +/– | |
Такие ребята уже давно пилят какой-то там PowerDNS или что-то вроде того... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #13 Ответы: #33 | ||
| 31. Сообщение от Аноним (7), 19-Май-22, 23:14 | +/– | |
Без малого 10 лет был оператором публичного DNS. Зон было куда больше 5 тысяч. Байнд был в роли скрытого мастера, без подключения к публичным сетям. Клиентов обслуживал Knot. А ты написал херню | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #20 Ответы: #32 | ||
| 32. Сообщение от Онаним (?), 19-Май-22, 23:18 | –3 +/– | |
Ды не, ну кто ж вам запрещает пользоваться любимыми дилдо. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #31 Ответы: #34, #41 | ||
| 33. Сообщение от Онаним (?), 19-Май-22, 23:20 | –2 +/– | |
Э нет, современный DNS за пару вечеров не сделаешь. Ну, если не как в жс и прочих крейтоляпах - тяп-тяп васянпакетов, и две строчки кода а-ля DNS.run(); exit 0; | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #30 Ответы: #37 | ||
| 34. Сообщение от Аноним (10), 19-Май-22, 23:57 | +2 +/– | |
> Необходимости что-то альтернативное за последние 10 лет иметь вообще не приключалось. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #32 | ||
| 35. Сообщение от Аноним (10), 20-Май-22, 00:00 | +/– | |
Потому что никому больше в голову не придет такая идиoтская идея - совмещать в одном сервере authoritative и recursive (авторы powerdns по молодости налажали, но потом осознали и распилили). Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #29 Ответы: #40, #43 | ||
| 36. Сообщение от Аноним (10), 20-Май-22, 00:04 | +/– | |
По сравнению с bind - вообще ни о чём, всего десяток дырок. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #28 | ||
| 37. Сообщение от Аноним (10), 20-Май-22, 00:08 | +/– | |
CoreDNS так и слеплен. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #33 Ответы: #45 | ||
| 38. Сообщение от Аноним (38), 20-Май-22, 00:30 | +/– | |
Поподробнее про заявленные возможности DoH, пожалуйста. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #17 Ответы: #48 | ||
| 39. Сообщение от Andy (??), 20-Май-22, 15:09 | +/– | |
Без проблем - https://cr.yp.to/djbdns.html | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #29 | ||
| 40. Сообщение от Andy (??), 20-Май-22, 15:11 | +/– | |
> Туда бы еще FTP-сервер запихнуть, и поддержку RTSP-стриминга. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #35 Ответы: #46 | ||
| 41. Сообщение от Аноним (7), 20-Май-22, 16:45 | +1 +/– | |
В корпоративном ланчике с айпишечками из rfc1938 DNS можно хоть на винде поднять а | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #32 Ответы: #42, #44 | ||
| 42. Сообщение от Аноним (7), 20-Май-22, 16:46 | +/– | |
s/rfc1938/rfc1918/ | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #41 | ||
| 43. Сообщение от Онаним (?), 20-Май-22, 22:46 | –2 +/– | |
Так можешь не совмещать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #35 | ||
| 44. Сообщение от Онаним (?), 20-Май-22, 22:48 | +/– | |
Как вы умудряетесь всё это ронять - мне неведомо. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #41 Ответы: #47 | ||
| 45. Сообщение от Онаним (?), 20-Май-22, 22:50 | +/– | |
Осталось только понять, зачем мне в паблике за пределами локалхоста с полутора проектами это может понадобиться. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #37 Ответы: #49 | ||
| 46. Сообщение от Аноним (10), 21-Май-22, 12:12 | +/– | |
> Идея - огонь, но тогда это будет очередное поделие в духе systemd :) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #40 | ||
| 47. Сообщение от Аноним (10), 21-Май-22, 12:16 | +/– | |
Видимо, ваш паблик такой паблик, что на него ни разу не набредал даже пытливый школьник с метасплойтом, не говоря уже о более серьёзных ребятах. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #44 | ||
| 48. Сообщение от Аноним (10), 21-Май-22, 12:19 | +/– | |
Все те же самые, что и любого TLS. google://tls+fingreprint | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #38 | ||
| 49. Сообщение от Аноним (10), 21-Май-22, 12:21 | +/– | |
Подкину вам ещё мысль: а зачем вашим "клиентам" вообще DNS? Пусть айпишники руками вбивают. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #45 Ответы: #50, #51 | ||
| 50. Сообщение от Онаним (?), 21-Май-22, 13:25 | +/– | |
Ну, вот примерно всё у вас так и есть. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #49 | ||
| 51. Сообщение от Онаним (?), 21-Май-22, 13:26 | +/– | |
(это ж образ мышления такой) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| Родитель: #49 | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
