20:59
17/11/2011

Nieznany błąd zawiesza serwery DNS

Nie wiadomo co zawiesza serwery DNS BIND 9 wykonujące zapytania rekursywne. ISC potwierdziło, że problem jest ogólnoświatowy.

CVE-2011-4313

W monicie bezpieczeństwa wydanym przez ISC możemy przeczytać, że BIND 9 na całym świecie wykłada się zostawiając w logu taki komunikat:

INSIST(! dns_rdataset_isassociated(sigrdataset))

Błąd leży w query.c i ujawnia się w momencie odpytywania o rekord trzymany w cache (ale niepoprawny). Problem zakatalogowano pod numerkiem CVE-2011-4313. Podatne są BIND 9.4-ESV, 9.6-ESV i 9.7-8.*. ISC bada przyczynę szczegółowo, a w międzyczasie wydało już patche.

Jak tam Wasze BIND-y?


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

26 komentarzy

Dodaj komentarz
  1. Moje jedzą z ręki.

  2. DNS-y się zawieszają to jedno, ale po wejściu na ten wpis (i, póki co, tylko na ten) NoScript w Fx wywala info o próbie XSS. ;)
    Może to jakieś testy przed SOPA? :P

    • Mi noscript na niebezpieczniku wywala proby XSS.
      Nie haksujcie, niebezpieczniku! ;D

    • Potwierdzam, pojawia się XSS attempt info z NoScripta.

    • Jakbyscie zajrzeli do konsoli, tak jak sugeruje NoScritpt, to wiedzielibyście, że jego komunikat wynika z …widgetu Wykopu, ktory bierze kilka pierwszych zdan do opisu — a ze akurat trafia mu sie zacytowany w artykule fragment logu z BIDN 9, to krzyczy, bo widzi w url podejrzane znaki… :-) Innymi slowy false positive.

    • Te false positive to pewnie ściema aby ludzie przestali sprawdzać albo wyłączyli NS na niebezpieczniku :P

  3. Jak te fiordy ;-)

  4. Dziala poprawnie :)

  5. a ja mam to gdzieś bo używam powerdns.

  6. Mam pytanie w sumie, bo mam problem z DNS w chromie. Czasem jest tak że gadu działa a na strony nie chce wchodzić pokazując błąd 105, związany z DNS. Czy to jest tego powodem?

  7. Mój DNS w Windows Server 2008 R2 śmiga jak złoto :)

  8. chrumkają aż miło, żadnych problemów

  9. Windows Server DNS Service nie ma takich problemów.

  10. /etc/hosts FTW! ;-)

  11. GG działa, bo używa adresów IP, a nie nazw domen.

  12. Nasze Bindy? PowerDNS FTW

  13. Wydaje mi się, że przyczyną mogą być urządzenia/software posiadające adres IP. To one wysyłają pakiety IP, które są przyczyną problemu zawieszania Bind’a.

  14. 9.7-8.* – warto byłoby rozróżnić jako 9.7 i 9.8

  15. Mój c:\windows\system32\drivers\etc\hosts działa całkiem nieźle. :)

    • :-D

  16. Patrząc na historię podatności, to ten BIND jest dziurawy jak szwajcarski ser https://www.isc.org/advisories/bind

  17. “Przeczytaj także:
    Ta strona zawiesi każdą przeglądarkę!”
    – a tam spsute linki i 404 na konieczny.be insynuujące żem coś spierdolił ;)

  18. …to Anonimy na Bank testują Coś :-D, jak przywalą to jak Amerykanie w Hiroshimie :-)

  19. PS: CloudFlare always on :) się włącza przy wejsciu na niebezpiecznik od paru minut :)

  20. BIND, WTF? MaraDNS uber alles panowie i panie :-)

    • MaraDNS? Ssie toto z połykiem z powodu niepełnej obsługi IPv6. Idea odpalania osobnego demona dla TCP i UDP też niebardzo mi się podoba. PowerDNS FTW!

Odpowiadasz na komentarz arhu

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: