Создан первый эксплоит для дыры в DNS-серверах

[the_toon]

Может после этого посмотрят в сторону безглючного djbdns им. Бернштайна, и таки начнут использовать?

[LDEV]

А этот продукт как удостоился такой награды?

[the_toon]

Если Вы про безглючность, то Бернштайн гарантирует пятьсот долларов за каждый найденный глюк.

[LDEV]

Забавно даже ))

[the_toon]

Забавно? Может быть, может быть... Однако ISC, когда Дэниел предложил им сделать похожее, отказались.
И вот это действительно забавно.

А ещё забавнее, что MS использует для своих dns сервисов всё тот-же глючный bind, со всей врождённой корявостью.

[rengel_system]

а можно top10 корявостей bind'a 9? интересно

[the_toon]

Отсюда:

BIND is a monolithic server/cache; it also includes a client library, libresolv.

Security history:
- IQUERY buffer overflow in BIND before 8.1.2-T3B (1998);
- NXT buffer overflow in BIND before 8.2.2-P4 (1999);
- nslookupcomplain buffer overflow in BIND before 4.9.8 (2001);
- TSIG buffer overflow in BIND before 8.2.3 (2001);
- CNAME buffer overflow in libresolv before 4.9.9/8.2.6/8.3.3/9.2.2 (2002);
- SIG buffer overflow in BIND before 4.9.11/8.3.4 (2002);
- getnetbyname buffer overflow in libresolv before 4.9.11 (2002).

All of these allowed attackers around the Internet to seize control of the program.

[the_toon]

Ну и вот это, пожалуй.

[the_toon]

"Полный" список корявостей - 672 баги.

[mikes]

безглючность это важная черта... но ещё есть функциональность

[the_toon]

Назовите, пожалуйста, хотя-бы один dns rfc, которой не поддерживается в djbdns.

[budulay]

глянул код експлоита, так там еще кроме автора, описания и версии есть еще и упоминание о лицензии))))

[Cluster]

Это получается интернет в опасности?

[the_toon]

Когда сервера начнут падать пачками, тогда да, будут опасносте.

- А пока можно расслабиться..., - подумали самые ленивые админы и пошли пить пиво на последние. А умные и ответственные, похихикали в рукава. ещё раз сказали спасибо Дэниелю, и поехали домой, к жене, детям, собственноручно собранному ламповому усилителю и недописанному скрипту для автоматического закрывания жалюзи на окнах...

[MrTiM]

больше - галактико );

[bes_internal]

Пойду грабить корованы

[MrTiM]

С чего вы взяли что кривой?

[catlion]

Запустил скрипт, каждые 5 минут очищающий кеш... (((

[sylvio]

а пропатчить сервер не проще было?

[catlion]

Все апдейты установлены

[Buben]

программе требуется от одной до двух минут, чтобы внедрить запись в кэш DNS-сервер

[stolen]

Проще настроить не slave, а forward

[stolen]

Я загнался. Извините.

[MrTiM]

Эх, зря вы сплоит сунули. Зачем?

[Jekel]

может для того чтобы админы зачесались и стали обновлять днс сервера шустрее? :)

[MrTiM]

Не думаю. Для этого достаточно было написать что сплоит есть в открытом доступе. Кто-то стал бы искать и добавил его в метасплоит фреймворк, кто-то бы профильтровал новость не придав этому значение, но когда приведен готовый сплоит - 85% прочитавших топик его скачают/просмотрят надо им это или нет. А кидди тут же побегут играть в хацкеров.

[Jekel]

Кидди наверное давно в курсе такого рода ресурсов, и всё равно бы нашли его там как только бы он появился в паблике. имхо конечно.

[MrTiM]

Стали бы искать?
В любом случае, я против такого рода ссылок на хабре, представляя его аудиторию. Таково мое мнение.

[katremer]

>Спустя две недели после обнаружения Дэном Каминским глобальной уязвимости

Обнаружена она была ещё полгода назад, только Дэн как умный человек в первую очередь предупредил разрабов dns-софта.

[Sap_ru]

Сначала, посмеялся и подумал,ч то у меня всё хороши правильно, а потом с ужасом вспомнил, сколько стоит всякого проксирующего железа - от простыейших WiFi точек, до весьма мозговитых маршрутизаторов. И много где реализован и включен DNS-прокси. А стоит оно и дома и на работе и вообще куда ни ткни.
Всё! полный крах и ужас и кошмар - бегу отключать все железо или пернастривать на "свои" DNS сервера.

[atfakep]

оО голактеко в опасносте! Это вам не пончей в ифреймах раздавать!