В systemd-resolved, поставляемом в составе systemd кэширующем DNS-резолвере, выявлена (http://seclists.org/oss-sec/2017/q2/618) уязвимость (CVE-2017-9445 (https://security-tracker.debian.org/tracker/CVE-2017-9445)), которая может привести к записи за пределы выделенного буфера, что потенциально может привести к выполнению кода злоумышленника, при обработке специально оформленного ответа от DNS-сервера. Проблеме подвержены версии systemd с 223 по 233 включительно. Обновление с устранением проблемы выпущено для Fedora Linux (https://bodhi.fedoraproject.org/updates/FEDORA-2017-29d909f5ec) и Ubuntu (https://www.ubuntu.com/usn/usn-3341-1/), но пока недоступно для Debian Stretch (https://security-tracker.debian.org/tracker/CVE-2017-9445). Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.URL: http://seclists.org/oss-sec/2017/q2/618
Новость: http://www.opennet.dev/opennews/art.shtml?num=46771
Вопрос: а нафига он вообще нужен?
> Вопрос: а нафига он вообще нужен?s-d не нужен -- просто его продят и наяривают так, что слабые на ....ок анонимы в восторге.
Сабж, кроме уязвимостей, видимо "нужен" для ---
""Добавлен фоновый процесс systemd-resolved, который работает совместно с systemd-networkd и обеспечивает поддержание настроек в файле resolv.conf на основании[...]""
--28.05.2014 23:39 Новая версия systemd 213 с поддержкой службы синхронизации времени
http://www.opennet.dev/opennews/art.shtml?num=39879
> что слабые на ....ок анонимы в восторгеанонимы в восторге? я аноним и я пропагандирую здоровый образ жизни без s-d.
а вы, если не курите, то бросайте и пить. ну или закусывайте плотно.
>> что слабые на ....ок анонимы в восторге
> анонимы в восторге? я аноним и я пропагандирую здоровый образ жизни без
> s-d.
> а вы, если не курите, то бросайте и пить. ну или закусывайте
> плотно."Мало ли в Бразилии донов Педров!?"(ц)
Некоторые слабы на https://ru.wikipedia.org/wiki/%D0%9B%D0%... другие "части".
Чтобы не отсылать чёрт знает куда запросы на резолв на каждый чих. Так у тебя на локалхосте будет свой резолвер с твоими сайтами и околонулевым временем отклика.
Ефрейтор очевидных войск A.Stahl
Надо полагать других раньше не было?
Были другие. И ещё будут другие. Разнообразие -- базис эволюции.
а можно выпилить этот и поставить dnsmasq ?
Можно, но dnsmasq отсылает запросы к вышестоящим резолверам не параллельно, а последовательно, так что если первый из них не отвечает, имеем гарантированное подвисание.
resolved отсылает их параллельно, и использует первый положительный ответ.Кроме того, если первый резолвер ответил NOTFOUND, то считается, что такого домена не существует. resolved при наличии положительного ответа от другого резолвера использует его. Таким образом можно, например, одновременно использовать рекурсивный резолвер провайдера и авторитетный днс своей локалки для внутренних доменов, без ручной настройки всяких view.
Т.е. ты хочешь сказать что resolved лучше старого решения? Де тебе сейчас аноним глаза выцарапает!
> Де тебе сейчас аноним глаза выцарапает!Аноним анониму глаз не выцарапает :)
> Можно, но dnsmasq отсылает запросы к вышестоящим резолверам не параллельно, а последовательно,
> так что если первый из них не отвечает, имеем гарантированное подвисание.man dnsmasq на предмет --all-servers.
> Кроме того, если первый резолвер ответил NOTFOUND, то считается, что такого домена
> не существует. resolved при наличииman dnsmasq на предмет --no-negcache.
> его. Таким образом можно, например,
Просто твой собеседник, как и поцтер, маны не читает. Но собеседник горазд только на форумах за величие поцтера топить, а поцтер всё незнакомое переписывает чтобы мейнстримный линукс скорее сдох.
Я болею за Лёню. Надеюсь, у него получится.
Чтобы мейнстримный линукс сдох, он сначала должен родиться, но процесс этого рождения почему-то ломает всех адептов.PS: разве это не замена nscd?
Ты его то ли не застал, не успев родиться, то ли фантазируешь над устаревшей методичкой
> man dnsmasq на предмет --no-negcache.но разве это то же самое?
> -N, --no-negcache
> Disable negative caching. Negative caching allows dnsmasq to remember "no such domain" answers from
> upstream nameservers and answer identical queries without forwarding them again.т.е. это отключает кеширование no such domain.
а
> --all-servers
>
> By default, when dnsmasq has more than one upstream server available, it will send queries to just
> one server. Setting this flag forces dnsmasq to send all queries to all available servers. The reply
> from the server which answers first will be returned to the original requester.тут же говорится, что ответ будет принят от _первого_ ответившего. т.е. если первый ответивший скажет no such domain, то и получим no such domain. разве не так?
Если вам нужен кешер и локальный днс, то локальный bind может спокойно быть и тем и тем, тогда не понятно нафига нужен resolved.
Как уже выше заметил один, разнообразие — базис эволюции. А то так вы сейчас на почве беспричинной ненависти к одному конкретному разработчику софта доболтаетесь до того, что нужна только одна-единственная ОС (Windows, конечно же :), а все другие надо зарыть вместе с авторами и пользователями.
>на почве беспричинной ненависти к одному
>конкретному разработчику"Беспричинной" - хорошая шутка, Анон!
Проблема, как раз в том, что разнообразие страдает из-за того, что ЭТО из системы просто так не выкинуть.
> Проблема, как раз в том, что разнообразие страдает из-за того, что ЭТО
> из системы просто так не выкинуть.Элементарно выкидывается установкой USE флага "-systemd" в нормальной OS.
>доболтаетесь до того, что нужна только одна-единственная ОС (Windows, конечно же :), а все другие надо зарыть вместе с авторами и пользователями.Конечно же нет. Свора тявкающих шавок вокруг слона полезна - она не даёт слону расслабляться.
При чем тут вообще ненависть, если resolvd в данном конкретном случае лишнее звено и никакой практической пользы не приносит, а скорее даже навредит.А аргументы выше на тему того, что resolvd лучше, потому что использует первый попавшийся ответ и можно не заморачиваться настройкой вообще за гранью фантастики - это же круто, когда запросил хост, который в интрасети резолвится по другому, а оно тебе с публичного dns запись дает - он же первый ответил )
Это почти также охуенно, как антивирус под винду(не помню точно, но вроде аваст), у которого похожая фишка dns защиты - подрубился к vpn рабочему, зашел на внутренний портал, а грузится внешка. А этот гад оказывается у своего днс тоже спросил, определил что резолвится не так как в интернете и "защитил", вернув публичный ответ без предупреждения. Минут десять думал с какого хуя днс получает, все вроде работает, кеш сбросил 100 раз, но резолвится цука неправильно.
Я тот самый админ с интранетом. Лёне привет, удалил этот рак из дистрибутива по причине непонимания Лёни что иногда нужно(очень) последовательно днс запрашивать и эта оптимизация это пердеж в лушу от школоты нарушающий проброс внутрикорп трафика просто потому что Лёня так видит работу днс.Мало того, эта мразь еще и требует постоянного релоада если новый днс приехал в список и тебе нужна с него информация.
ПОлез почитать зачем это барахло нужно, поржал, запустил удаление на клиентских машинах.
> Можно, но dnsmasq отсылает запросы к вышестоящим резолверам не параллельно, а последовательно,
> так что если первый из них не отвечает, имеем гарантированное подвисание.
> resolved отсылает их параллельно, и использует первый положительный ответ.
> Кроме того, если первый резолвер ответил NOTFOUND, то считается, что такого домена
> не существует. resolved при наличии положительного ответа от другого резолвера использует
> его. Таким образом можно, например, одновременно использовать рекурсивный резолвер провайдера
> и авторитетный днс своей локалки для внутренних доменов, без ручной настройки
> всяких view.Да, последовательно. А проблема существует? Клиент в один момент времени запрашивает тысячи доменов? Да даже если и так. Там всегда локальный кеш маршрутизатора. Опрашивай его сколько хочешь, отвечает быстро.
Т.е решили проблему которой нет, сломав поведение резолвера. Отлично.
>если первый резолвер ответил NOTFOUNDЧитай зачем нужны опции в resolv.conf
Так и должно отвечать, мало того много чего зависит именно от такого поведения.
Есть прекрасный способ указать маску поиска домена на конкретном днс, так и работем. И заметь никто кроме Лёни не считает что это неправильно.
А если ответят оба резолвера и ответ будет разный?
>Таким образом можно, например, одновременно использовать рекурсивный резолвер провайдера и авторитетный днс своей локалки для внутренних доменов, без ручной настройки всяких view.А юный хакер/майор полиции подрабатывающий в провайдере/google.dns/yandex.dns/skydns/opendns/symantec.dns читателем логов будет знать хосты твоей локалки?
>параллельно
>последовательно
>одновременнону-ну
пакеты с запросами тоже одновременно из твоего интернета вылетают?
> не параллельно, а последовательноА зачем параллельно? Без этого мало срани в сетях? Надо добавить?
> Чтобы не отсылать чёрт знает куда запросы на резолв на каждый чих.
> Так у тебя на локалхосте будет свой резолвер с твоими сайтами
> и околонулевым временем отклика.Нет, для этого всегда был нужен... bind 4.8, 4.9, сейчас вот dnsmasq [на всех наших el6, el7 и пр.] наструячили.
> Ефрейтор очевидных войск A.Stahl
Самозванцев набежало. Прапор, расчехляй пулемёт. //Майор Б.
>для этого всегда был нужен... bind 4.8, 4.9, сейчас вот dnsmasqДа ладно, на кой мне это г*** на локалхост, пусть на сервере крутятся.
Каждый должен заниматься своим делом.
> Нет, для этого всегда был нужен... bind 4.8, 4.9, сейчас вот dnsmasq
> [на всех наших el6, el7 и пр.] наструячили.А зачем теперь тащить в систему левый dnsmasq, если рекурсивный резолвер есть в resolved, а DHCP-сервер - в networkd?
>> [на всех наших el6, el7 и пр.] наструячили.
>рекурсивный резолвер есть в resolvedГде? Можно без "и пр.". el6 и el7. С одним конфиом -- так и вообще хорошо...
bind? Кэшером на localhost? Да ещё 4.x (это из каких годов?)
Не-не. В тех годах, из которых bind4, уже́ был nscd (та ещё пакость, перехватывает библиотечные вызовы и кэширует ответы как умеет). Сейчас dnsmasq ±годен для локалноста (а гении из openstack его обслуживать dhcp приволокли, не осилив isc).
Ещё unbound, когда резолвер таки нужен.
А можно узнать в чем собсвенно столько хейта bind? Дома 600тыс зон держать не нужно, а значит по памяти разница будет минимальной. Есть еще причины?
> А можно узнать в чем собсвенно столько хейта bind? Дома 600тыс зон
> держать не нужно, а значит по памяти разница будет минимальной. Есть
> еще причины?0. А хейт тут причём?
1. bind4. Тест на внимательность.
2. Комбайн, с подозрением на гонки в резолвере (по многолетнему опыту эксплуатации 9.x). /Вычистить код от ISC — особо без шансов./
3. Cache poisoning во всяких видах (тот же dnsmasq почти никак не эксплуатируется, в силу тупизны /кэш зачищается жёстко по таймауту, все вопросы к резолверу/)
4. Все бонусы bind-мастера для локалхоста — мимо кассы.
>Все бонусы bind-мастера для локалхоста — мимо кассы.речь идет про возможность создания авторитативного сервера? не согласен.
куда приятнее работать с домашними девайсами аля nas.homе, не говоря уже про тестовые площадки для вебмакакинга или энекейщиства. Не hosts же прописывать везде, ей богу.
Второй момент - использовать бинд как спаморезалку.
> А можно узнать в чем собсвенно столько хейта bind? Дома 600тыс зон
> держать не нужно, а значит по памяти разница будет минимальной. Есть
> еще причины?А есть причины забивать гвозди микроскопом?
Ну да, я сейчас разогнался ставить bind на десктоп, ага...Совсем клоун?
А что здесь такого?
> Ну да, я сейчас разогнался ставить bind на десктоп, ага...Совсем клоун?"Можешь не приходить, вычёркиваю."
Для раздражающихся поясняю: не про вас, почтеннейшие, там наверху речь шла.
Там тело сказало "для локального кеша _нужен_ [s-d-]relolverd" -- я телу ответил, что никакой необходимости в s-d или его честях небыло уже много **десятилетий**. Проходите мимо -- здесь ничего нет.
Ты и тебе подобные просто хэйтеры systemd и поттеринга в часности. Из ваших уст только и слышно - "линукс не нужен, есть фря" и "фря не нужна, есть линукс". если есть этот resolved, то пусть будет конкурентом остальным. Если тебе лично он не нужен, какого черта у тебя и подобных так бомбит?
> и "фря не нужна, есть линукс". если есть этот resolved, то
> пусть будет конкурентом остальным. Если тебе лично он не нужен, какогоКонечно, пусть будет конкурентом. Полностью согласен! С успехом им не пользуюсь. В духе конкуренции.
""7.2.2.1. systemd-resolved Configuration
[Note] NoteIf using another means to configure your network interfaces (ex: ppp, network-manager, etc.), or if using any type of local resolver (ex: bind, dnsmasq, etc.), or any other software that generates an /etc/resolv.conf (ex: resolvconf), the systemd-resolved service should not be used."" --http://www.linuxfromscratch.org/lfs/view/systemd/chapter07/n...
> черта у тебя и подобных так бомбит?
"Инновационные" рейдерские технологии не переношу. Можно? Спасибо.
> Чтобы не отсылать чёрт знает куда запросы на резолв на каждый чих.Для того давным-давно придуман nscd.
>Вопрос: а нафига он вообще нужен?systemd?
> в составе systemd кэширующем DNS-резолвереЗачем иниту DNS?
> Зачем иниту DNS?Systemd - это не инит.
>> Зачем иниту DNS?
> Systemd - это не инит.+1 "Этот-то? Да какой он инит."
Диалог у ворот рая:
--Правда, что программеров р рай не пускают?
--Правда.
--А как же этот. [кивает на гуляющего за оградкой Б.Г.]
--Этот-то? Да какой он программист!
Б.Г.? Бориса Гребенщикова что-ли? Почему не Л.П.?
Чёт вспомнил анекдот про "конину 6лядскую".
Правильно. Это - религия.
> Правильно. Это - религия.Карго-культо-секта же.
>Systemd - это не инит.Он уже почти ОС! Скоро собой заменит GNU, будем писать Systemd/Linux.
Будете писать, если не вас разгонят.
зачем анониму ноги, и без них можно на кнопки нажимать?
Поправлю тебя.
>Зачем анонимусу на руки ещё одни ноги?
> зачем анониму ноги, и без них можно на кнопки нажимать?Зачем анониму руки, растущие оттуда же, откуда и ноги?
Никто похоже и не проверял systemd на дыры... Имеем пока первую...
Низкопробный троллинг.
Далеко не первая https://www.opennet.dev/opennews/art.shtml?num=45908
> Никто похоже и не проверял systemd на дыры... Имеем пока первую...
> не проверял systemd на дыры... Имеем пока первую
>не проверял
>пока первуюСлово "ремотную" не вижу я в твоём тупом посте?
24.01.2017 16:48 В systemd 228 обнаружена локальная root-уязвимость
http://www.opennet.dev/opennews/art.shtml?num=45908
http://www.opennet.dev/openforum/vsluhforumID3/110249.html#2229.09.2016 19:49 Локальная DoS-уязвимость в systemd
https://www.opennet.dev/opennews/art.shtml?num=45244
> Никто похоже и не проверял systemd на дыры... Имеем пока первую...
> Имеем пока первую...С разморозкой! Добро пожаловать в 2017!
https://security-tracker.debian.org/tracker/source-package/s...CVE-2017-9445 In systemd through 233, certain sizes passed to dns_packet_new in ...
CVE-2013-4392 systemd, when updating file permissions, allows local users to change ...
CVE-2017-9217 systemd-resolved through 233 allows remote attackers to cause a denial ...
CVE-2016-7796 The manager_dispatch_notify_fd function in systemd allows local users ...
CVE-2016-7795 The manager_invoke_notify_message function in systemd 231 and earlier ...
CVE-2016-10156 A flaw in systemd v228 in /src/basic/fs-util.c caused world writable ...
CVE-2015-8842 tmpfiles.d/systemd.conf in systemd before 229 uses weak permissions ...
CVE-2015-7510 Stack overflow in nss-mymachines
CVE-2014-9770 tmpfiles.d/systemd.conf in systemd before 214 uses weak permissions ...
CVE-2013-4394 The SetX11Keyboard function in systemd, when PolicyKit Local Authority ...
CVE-2013-4393 journald in systemd, when the origin of native messages is set to ...
CVE-2013-4391 Integer overflow in the valid_user_field function in ...
CVE-2013-4327 systemd does not properly use D-Bus for communication with a polkit ...
CVE-2012-1174 The rm_rf_children function in util.c in the systemd-logind login ...
CVE-2012-1101
CVE-2012-0871 The session_link_x11_socket function in login/logind-session.c in ...
вот зачем ты человеку сломал жизнь?
> CVE-2012-1174 ...
> CVE-2012-1101
> CVE-2012-0871 ...Дыра CVE-2012-1101 настолько ужасна, что у автора списка даже слов не нашлось для её описания? :)
> Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.Ибо, systemd там банально не свеж )
Давайте попробую объяснить, зачем он притащил резолвер. (Дисклаймер: текст далее не отменяет того, что Л.П. м...к).На (достаточно) ранней стадии подъема системы приходит время получить ip по dhcp.
Поскольку dhcp-клиент всунут в s-d, то прописывать что-то в resolv.conf и задействовать libresolv --- не по фэншую.
А там и всякие туннели/авторизации/бриджи. И хочется написать в конфигеdhcp.mycompany.com
а не 10.0.64.1, да и DNS запросы-ответы --- вещь асинхронная, если пустить всё через одну (single) точку, то разруливать, казалось бы, легче.
Да ладно вам, у bind не давно была аналогичная проблема при не правильном резолве. Печально что эти же ошибки не проверили вновь написанном systemd-resolved
> Да ладно вам, у bind не давно была аналогичная проблема при не
> правильном резолве. Печально что эти же ошибки не проверили вновь написанном
> systemd-resolvedа они код копипастят руками, а не тянут из чужой vcs в сборке, потому что на плошку риса за меньшее количество строк белый господин меньше денег даст
> Да ладно вам, у bind не давно была аналогичная проблема при не
> правильном резолве. Печально что эти же ошибки не проверили вновь написанном
> systemd-resolvedПока вы этим занимаетесь, проверьте ещё на "все ошибки" ipsec, ipv6, гонки призагрузках, интеграцию с виртуальной контейнерезацией. Пока хввтит? Начинайте -- ленарт вам медаль выпишет.
Похоже Лёня не осилил запустить nscd(
Вобшет nscd занимается не только и не столько dns'ом.A daemon which handles passwd, group and host lookups
for running programs and caches the results for the next
query. You should install this package only if you use
slow services like LDAP, NIS or NIS+.
И что?
> 2017
> переполнение буфераПродолжаем писать на сишечке, чо. Необучаемость зашкаливает.
>> 2017
>> переполнение буфера
> Продолжаем писать на сишечке, чо. Необучаемость зашкаливает.два чая этому господину!
Удваиваю!Величайшее изобретение сишников "Алгоритм маляра Шлемиля" для обработки и конкатенации строк, терминируемых NUL, приплюсую.
> Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.другим подгаживают потихоньку?