Выпущены обновленные версии DNS сервера BIND: 9.4.1-P1 (http://comments.gmane.org/gmane.network.dns.bind.announce/104), 9.3.4-P1 (http://comments.gmane.org/gmane.network.dns.bind.announce/105), 9.2.8-P1 (http://comments.gmane.org/gmane.network.dns.bind.announce/106) и 9.5.0a6 (http://comments.gmane.org/gmane.network.dns.bind.announce/107), с исправлением уязвимости (http://www.trusteer.com/docs/bind9dns.html) дающей возможность злоумышленнику организовать отправку клиенту фиктивных ответов DNS сервера.
Проблема заключается в возможности предсказания с высокой вероятностью идентификатора следующего DNS запроса. Злоумышленник может сгенерировать поддельный ответ, который будет отдан на запрос клиента, если BIND работает в режиме резолвера или когда первичный DNS сервер осуществляет оправку NOTIFY-пакета вторичному.
Кроме того, введены ограничения по умолчанию для рекурсивных запросов и обращений к кэшу, теперь по умолчанию устанавливаются ACL:
options {
recursion yes; // default
allow-recursion { localnets; localhost; };
allow-query-cache { localnets; localhost; };
...
};
URL: http://it.slashdot.org/article.pl?sid=07/07/24/1614205&from=rss
Новость: https://www.opennet.ru/opennews/art.shtml?num=11539