|
Обнаружено несколько очень серьезных уязвимостей DNS сервера BIND (все версии меньше 8.3.4 и 4.9.11), позволяющие злоумышленнику удаленно получить привилегированный доступ к системе.
Советую переходить на 9.x (9.2.1) ветку (по идее это нужно было сделать в прошлом году), слухи о нестабильности и сырости нового кода безосновательны, по личному опыту могу судить об обратном, сегодняшний уровень стабильности 9.x на много выше 8.x и 4.x. В любом случае, BIND любой версии советую запускать только в chroot окружении.
Вероятно в скором времени появится сетевой червь, направленный на использование обнаруженных уязвимостей.
Список обнаруженных проблем:
BIND: SIG Cached RR Overflow.
BIND: Multiple Denial of Service: Expiry Time DoS, OPT DoS (BIND 8.3.0 - 8.3.3, 8.2 - 8.2.6);
LIBRESOLV: buffer overrun (BIND 4.9.2 - 4.9.10).
При невозможности абгрейда, рекомендуется запретить или ограничить рекурсивные запросы в конфигурации:
BIND8 named.conf:
options {
# Для NS только отдающих зоны:
recursion no;
fetch-glue no;
# Для кеширующих NS, 10.0.0.0/8 - локальная trusted сеть:
allow-recursion { 10.0.0.0/8; };
};
BIND 4 named.boot:
options no-recursion
| 
