Internet Systems Consortium советует пользователям BIND обновить систему,
чтобы исправить баг, который уже может использоваться для атаки на уязвимые
сервера.

ISC уточняет, что определенное событие в сети заставляет BIND 9 кэшировать
недопустимые записи, а затем при запросе такой записи сервер падает с ошибкой:

INSIST(! dns_rdataset_isassociated(sigrdataset))

Очевидно, что атака нацелена на сети, которыми пользуются жители Германии,
Франции и Соединенных Штатов, поскольку именно оттуда поступают жалобы на
многочисленные сбои серверов.

ISC советует немедленно обновить BIND на версии 9.8.1-P1, 9.7.4-P1,
9.6-ESV-R5-P1 и 9.4-ESV-R5-P1.

Исправление в коде разработано как для кэша, так и для сбоя. В
сопроводительной рекомендации от ISC говорится:

"Когда запрос клиента обработан, код, который отвечает за ответ клиенту,
должен запрашивать кэш на предмет наличия записи, которая соответствует запросу.
Первый компонент патча защищает кэш от выдачи неправильных данных. Второй
компонент патча защищает сервер от сбоя в случае обнаружения несопоставимого с
запросом ответа".

Согласно Блэр Стрэнг, консультанту по безопасности австралийской компании
SenseOfSecurity, хоть ситуация и "серьезная", все "не так плохо".

Последние события превратили разработчиков BIND параноикам, объяснил Стрэнг,
поэтому они усилили контроль безопасности внутри своего кода – а ведь сбой
произошел как раз из-за проверок безопасности.

"Когда сервер выдает сообщение об ошибке и отключается – это работает
защитный механизм", — сказал нам Стрэнг. "Проверки безопасности были добавлены в
BIND 9, потому что BIND 8 был уязвим; было выпущено несколько эксплойтов,
которых было слишком много для стабильной работы серверов в интернете".

Он добавил, что существующая уязвимость все еще не найдена, а "новый патч не
исправляет ошибку, он всего лишь сглаживает этот сбой (эта ситуация могла
меняться по мере обнаружения новых деталей)".

Поскольку разработчики BIND до сих пор не знают, чем вызван этот сбой,
удаленное выполнение кода вполне возможно, сказал он. "Будем надеяться, что все
закончится просто отказом сервиса", — добавил он.



Оставить мнение