Portál AbcLinuxu, 8. května 2025 13:56

Hromadná oprava chyb v DNS serverech

Slashdot uvádí, že v DNS byly nalezeny závažné nedostatky (v samotném protokolu a v obvyklých implementacích), které umožňují útok na servery (DNS cache poisoning) i klienty. Na opravě se spolupracovalo s 81 výrobci softwaru, kteří vydali opravu.

9.7.2008 02:49 | Luboš Doležel (Doli) | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Vložit další komentář

Tak nebylo by přeci jen lepší zkusit DJBDNS? Co? Chlapi?

9.7.2008 07:34 camlost | skóre: 7
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

myslite, ze DJB implementoval jiny protokol?

A slow biker.

9.7.2008 08:14 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ne, ale úpravu, která teď byla implementována do spousty dalších serverů, obsahuje už dávno (pravděpodobně odjakživa). V DNS protokolu se nedělala žádná změna, vše je záležitost jen úprav software. V dokumentu VU#800113 - Multiple DNS implementations vulnerable to cache poisoning odkazovaném ze Slashdotu se píše:

Daniel J. Bernstein is credited with the original idea and implementation of randomized source ports in the DNS resolver.

9.7.2008 08:24 R
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Neviem, ako je djbdns pouzitelny, ale qmail od toho isteho autora je totalne nepouzitelny kus sw (bez patchov ani krok).

9.7.2008 10:13 xHire | skóre: 21 | blog: Linuxovník
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

qmail je docela zajímavý kus softwaru, jeden čas jsem ho běhal, ale pravdou je, že jsem kolem něj měl spoustu udělátek, aby plnil můj účel. Jiné mail servery jsou často jednodušší na nastavení, ale zase chtějí občas provést aktualizaci..

Jinak djbdns pomalu začíná ztrácet dech, jak přichází nové technologie jako SIP, IPv6 atd., tak už je potřeba patchovat, jinak se tyto záznamy vkládají relativně složitě.

Kryptoměny a bločenka.

9.7.2008 12:42 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Pockat, on existuje nekdo, kdo soubory pro tinydns pise v ruce?

Školím Ansible

12.7.2008 17:28 danc | skóre: 21 | blog: Blog nejen o Linuxu | Praha
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

ano prosim - treba ja

9.7.2008 13:17 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ani ne, vzhledem k povaze problemu a tomu, ze DJBDNS se nevyviji a nema dnes a v budoucnu uz vubec ne sanci dlouhodobe odolavat tomuto typu problemu.

9.7.2008 13:26 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Na rozdíl od spousty dalších systému tomuto problému djbdns odolával a odolává dlouho a úspěšně.

11.7.2008 22:54 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ale houbeles. Kdyby jste aspon trosku se podival na uvedeny problem, tak byste tusil, ze DNS servery byly pouze vylepseny, aby danemu typu utoku odolavaly lepe. Rekneme, ze v tomhle smeru dosahly na DJBDNS. Ovsem na rozdil od DJBDNS davaji moznost pokrocit dal a zabezpecit se proti problemum DNS protokolu lepe, tak, jak DJBDNS nemuze, vzhledem k jeho "vyvoji".

Pochopte, problem neni v Bindu, MS DNS serveru, ci DJBDNS, ale v protokolu jako takovem. A tim, ze DJBDNS je funkcne limitovane, tak proste nemuze problemu dlouhodobe odolavat.

12.7.2008 11:32 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

djbdns bylo vyvíjeno hlavně s ohledem na bezpečnost, takže lze očekávat, že ostatní servery budou dotahovat djbdns ještě dlouho. A djbdns se nevyvíjí dál, protože to není potřeba. Pokud by se objevila nějaká bezpečnostní chyba v djbdns, bude jistě opravena – ono by to jinak autora stálo dost peněz. Nevím, co si mám představit pod tím, že djbdns je funkčně limitované – je to DNS server, který vyhodnocuje DNS dotazy a posílá odpovědi. Mně takové chování DNS serveru stačí, já nepotřebuju, aby z toho ještě šly posílat e-maily a dal se v tom naprogramovat tetris.

9.7.2008 15:09 Drom | skóre: 24 | Kdyne
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Proc? Taky se poohlizite po novym kole, kdyz mu spadne retez?

9.7.2008 15:41 Dušan Hokův | skóre: 43 | blog: Fedora a další...
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Kdyz chci modernejsi tak ano, nebo ty snad dodnes jezdis na kole znacky Ukrajina a mas na nem dobastleny vsechny ty vychytavky co jsou na dnesnich kolech samozrejmosti?

10.7.2008 14:36 Drom | skóre: 24 | Kdyne
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ne, ja nepotrebuju na kolo klimatizaci, domaci kino, prives a bar. Ja chci, aby to kolo jezdilo dopredu a brzdilo. Kvuli pichly dusi si nekoupim novy a uz vubec ne kvuli tomu, ze nejaky kolo je hezci a ma vic prevodu, kdyz to moje jezdi porad stejne dobre a pro me ucely dostacuje.

10.7.2008 00:28 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Hromadná oprava chyb v DNS serverech

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já například používám PowerDNS a to je tam uvedeno jako jedno z mála Not Vulnerable...

Založit nové vlákno • Nahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.