17/11/2011
Nie wiadomo co zawiesza serwery DNS BIND 9 wykonujące zapytania rekursywne. ISC potwierdziło, że problem jest ogólnoświatowy.
CVE-2011-4313
W monicie bezpieczeństwa wydanym przez ISC możemy przeczytać, że BIND 9 na całym świecie wykłada się zostawiając w logu taki komunikat:
INSIST(! dns_rdataset_isassociated(sigrdataset))
Błąd leży w query.c i ujawnia się w momencie odpytywania o rekord trzymany w cache (ale niepoprawny). Problem zakatalogowano pod numerkiem CVE-2011-4313. Podatne są BIND 9.4-ESV, 9.6-ESV i 9.7-8.*. ISC bada przyczynę szczegółowo, a w międzyczasie wydało już patche.
Jak tam Wasze BIND-y?
Moje jedzą z ręki.
DNS-y się zawieszają to jedno, ale po wejściu na ten wpis (i, póki co, tylko na ten) NoScript w Fx wywala info o próbie XSS. ;)
Może to jakieś testy przed SOPA? :P
Mi noscript na niebezpieczniku wywala proby XSS.
Nie haksujcie, niebezpieczniku! ;D
Potwierdzam, pojawia się XSS attempt info z NoScripta.
Jakbyscie zajrzeli do konsoli, tak jak sugeruje NoScritpt, to wiedzielibyście, że jego komunikat wynika z …widgetu Wykopu, ktory bierze kilka pierwszych zdan do opisu — a ze akurat trafia mu sie zacytowany w artykule fragment logu z BIDN 9, to krzyczy, bo widzi w url podejrzane znaki… :-) Innymi slowy false positive.
Te false positive to pewnie ściema aby ludzie przestali sprawdzać albo wyłączyli NS na niebezpieczniku :P
Jak te fiordy ;-)
Dziala poprawnie :)
a ja mam to gdzieś bo używam powerdns.
Mam pytanie w sumie, bo mam problem z DNS w chromie. Czasem jest tak że gadu działa a na strony nie chce wchodzić pokazując błąd 105, związany z DNS. Czy to jest tego powodem?
Mój DNS w Windows Server 2008 R2 śmiga jak złoto :)
chrumkają aż miło, żadnych problemów
Windows Server DNS Service nie ma takich problemów.
/etc/hosts FTW! ;-)
GG działa, bo używa adresów IP, a nie nazw domen.
Nasze Bindy? PowerDNS FTW
Wydaje mi się, że przyczyną mogą być urządzenia/software posiadające adres IP. To one wysyłają pakiety IP, które są przyczyną problemu zawieszania Bind’a.
9.7-8.* – warto byłoby rozróżnić jako 9.7 i 9.8
Mój c:\windows\system32\drivers\etc\hosts działa całkiem nieźle. :)
:-D
Patrząc na historię podatności, to ten BIND jest dziurawy jak szwajcarski ser https://www.isc.org/advisories/bind
“Przeczytaj także:
Ta strona zawiesi każdą przeglądarkę!”
– a tam spsute linki i 404 na konieczny.be insynuujące żem coś spierdolił ;)
…to Anonimy na Bank testują Coś :-D, jak przywalą to jak Amerykanie w Hiroshimie :-)
PS: CloudFlare always on :) się włącza przy wejsciu na niebezpiecznik od paru minut :)
BIND, WTF? MaraDNS uber alles panowie i panie :-)
MaraDNS? Ssie toto z połykiem z powodu niepełnej obsługi IPv6. Idea odpalania osobnego demona dla TCP i UDP też niebardzo mi się podoba. PowerDNS FTW!