Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.16.33 и 9.18.7, а также новый выпуск экспериментальной ветки 9.19.5. В новых версиях устранены уязвимости, которые могут привести к отказу в обслуживании:...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57824
DoS-уязвимости не так страшно, что-то я не препомню там buffer overflow на запись.
DNS - дикая фигня, диды не догадались, что нужно шифровать трафик между клиентом и сервером, что в итоге привело к куче решений вроде DoT/DoH/DNSCrypt.
Не предусмотрели, что кто-то будет устраивать митм с целью навредить, и его за это не посадят на вилы.
Да вообще блин, создавали и строили вместо того чтобы ломать-крушить-набигать-нагибать.
Cтроили как раз для того чтобы ломать-крушить-набигать-нагибать (DARPA и все такое). Просто не ожидали, что другие нагибаторы окажутся с ними в одной сети.
Где ж эти пипипириписыватели всего на б-жественный хрусьть?Вот им поле для деятельности (и ничего необычного, ISC каждые три года с нуля переписывала, потому что их студенты не в состоянии разобраться с кодом предыдущих уже слинявших)
Но нет, они лучше grep еще раз перепишут, который и без них бы обошелся.
P.S. хотя, не, лучше не надо. Мы наверное не хотим безопастный dns с конфигом в json и нескучным rest api.
Чо разнылся ? тебе кто то PowerDNS или аналоги мешает юзать?
PowerDNS умеет зоны и гео?
Ты тоже геотаргетинг и высокоточные координыте возлюбил?
Он же ж не на хрусте, как его юзать-то?https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24698 - вот тебе RCE.
И это ж неуловимый джо который еще и просто нахрен никому и не сдался.
> double-free
> possibly arbitrary code executionтак он же на плюсах... там же есть auto_ptr/shared_ptr!
как же так получилось-то?
Дык, где ты в описании плюсов нашел что они - безопастные, ну где вот?!И unsafe у них нет!
> Где ж эти пипипириписыватели всего на б-жественный хрусьть?Загуглил бы хоть, вот они https://github.com/bluejekyll/trust-dns
test: failingХорошие сапоги, точно надо брать!
There is still a lot of work to do before a server can be trusted with this externally. Running it behind a firewall on a private network would be safe.
Ну ок...
RFCs in progress or not yet implemented
Basic operations
RFC 2317: Classless IN-ADDR.ARPA delegation
Update operations
RFC 1995: Incremental Zone Transfer
RFC 1996: Notify secondaries of updateой... не, такое и в private network не пойдеть. Админам локалхоста разьве что.
Жаль, начало описания выглядело красиво.
> test: failingПросили же на хрусте. Чтобы еще и работало - не просили. А если отломать работу с сетью совсем - представляете какой будет облом для хакеров?
https://github.com/EmilHernvall/dnsguide
Интересно, 9.11.4-26 из центоси 7 не подвержен или уже все забили на ц7?
В el7 по dns почти всё давно протухло, даже dnsmasq свежий затруднительно собрать, остается только powerdns.
а knot2 никак?
Вы просто не умеете в сборку, не можете осилить configure && make && make install.
Всё это dns-говно, что бинд, что маска, что nsd, что yadifa, что knot, что power - собирается под цемент-ос 7 вообще запросто и даже работает. Главное - сесть и собрать последнюю версию. Ну, может ещё пару либов. Но это же не непосильный труд, как вы себе тут нафантазировали.
Во-первых, не configure & make с развежением помойки, а rpmbuild -bb! Во-вторых сидеть и собирать не у всех есть время и желание, проще раз обновиться на 8-9.
В помощь вразумляющим молодёжжж с make install наперевес: http://www.linuxlib.ru/Linux/idealsa.htm (pilot@ впоследствии был главным по ДЦ в яндексе).
Олдскулы свело.
Нычкуемся, пацанчики - админ локалхоста в треде!make install, ага.
А через неделю в том что ты install - RCE. Но ты об этом еще не в курсе, потому что рассказываешь нам про make install в другом треде.
Отдельный вопрос - но не для тебя, ты не поймешь - на каком по счету хосте ты потеряешь счет этим мэйкинсталлам и забудешь что-то обновить. (Для админов манйниговых ферм и ботоводов - д-лы, блжад - никто вам не обещал что на всех стоит один и тот же софт - нет, блжад, он разный и его - много. И от того что ты заменишь make install на rpmbuild, не поменяется ровно ничего. Один из ста пакетов ты просто забудешь вовремя обновить.)
В ISC, судя по всему, тоже настоящих сишников нет. Снова то память течёт, то за гарницу буфера вываливается. Закрадывается крамольная мысль, что настоящих сишников и вовсе не существует. За пределами комментов на опеннете, конечно же.
В ISC как-раз в последние несколько лет качество растет. У них и сишники есть, и хорошая QA команда есть - большинсто этих выявленных ошибок это результат повышения качества тестирования ПО, а не находки из-вне. Фичи тоже появляются, те же DoT, DoH, XoT. Ребята молодцы.
> большинсто этих выявленных ошибок это результат повышения качества тестирования ПОТак то настоящие тестировщики натестировали. А кто ж накодил-то эти ошибки все? Как известно, настоящие сишники никогда такой лажи не напороли бы. Выходит либо ненастоящие и туда забрались, либо настоящих и не существует вовсе.
1. Там кодовой базе больше 20-и лет.
2. Програмисты, которые не допускают абсолютно никаких багов, это те которые ничего не пишут.
3. Программы, где не находятся новые ошибки, это программы которые больше не развиваются.
4. Постваить в минус то что в программе нашли и починили баги это глупо - если в другой программе ничего не нашли так это может и не искали или им наплевать.
> 1. Там кодовой базе больше 20-и лет.Нет. Там кодовую базу принято выкидывать в помойку раз в три года, потому что новые undergraduates не в силах разобрать что там налапшекодили предыдущие, уже получившие свой диплом.
4, 8 и 9 - три разных проекта не имеющие почти ничего общего (а Слава КПСС вообще не человек), 9 сама по себе несколько раз кусками переписывалась, тут я уже утерял счет этой возне.
К сожалению, эту хрень пилят по заветам Эви Немет, используя дармовой труд.
В целом ВСЕ поделки ISC таковы - что их dhcp (тоже кстати переписывали-переписывали да не выписали) по сей день не умеющий даже reload config, что dns, про ужас isc imap человечество как-то уже успело подзабыть.
> Постваить в минус то что в программе нашли и починили баги это глупо - если в другой программе
> ничего не нашли так это может и не искали или им наплевать.или искать негде - см выше список "мелких недоработочек" в хрустопереписанной альтернативе.
Ну тот же postfix умудряются писать без дыр, так что и за пределами опеннета существуют настоящие сишники. +)
Речь не про сишников а конкретно про криворучек из ISC.Они лет 30+ гнали всякий откровенный шлак, не так давно туда пришли адекватные люди и хотя бы накорябали kiya движок современный, который способен адекватно масштабироватся по ядрам и нагрузке.
Но видимо там легаси ещё полно осталось.
Я тоже не в восторге от их поделок, но похоже это старое наследство.