Clicky

Jump to content
  • Sign Up
Sign in to follow this  
Bruno Marques

Tutorial - Update Bind - 9.10.2-P3

Recommended Posts

Pessoal saiu um bug critico que afeta os servidores de DNS bind, com isso através de um simples exploit é possível derrubar o serviço de DNS remotamente.

https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html

Criamos um tutorial para atualizar o BIND manulmente para a versão 9.10.2-P3 (não contem o bug) para quem usa Centos 6, pois ele ainda não está disponível para atualização nos repositórios do yum.

OBS: USE POR SUA CONTA E RISCO.

###################################################
#  UPDATE MANUAL BIND 9.10.2-P3 (FIX BUG)
#  WWW.ATTIVIHOST.COM.BR - 05/08/2015
###################################################

# instalar dependencias
yum install openssl-devel libtool autoconf libcap-devel libidn-devel libxml2-devel krb5-devel   docbook-style-xsl  libxslt  GeoIP-devel  python-argparse  -y

# download bind
cd /root/
wget "https://www.isc.org/downloads/file/bind-9-10-2-p3/?version=tar-gz" -O bind-9-10-2-p3.tar.gz

# unzip 
tar -C ./ -xvf bind-9-10-2-p3.tar.gz
cd bind-9.10.2-P3/

# configure
./configure --prefix=/usr --sysconfdir=/etc --enable-threads --with-libtool

# install
make && make install

# update libraries
ldconfig

# restart bind & crond
service named restart

# named -v
BIND 9.10.2-P3

Abraços! 

Share this post


Link to post
Share on other sites

Na lista do GTER sugeriram isto aqui:

 

# yum install centos-release-cr
# yum update bind
# service named restart

 

 

Aliás, depois de corrigir o bug, vale investir um tempo em substituir o BIND. Para provedores de hospedagem eu tenho impressão que PowerDNS como autoritativo e Unbound como recursivo seja a melhor combinação, mas precisa ver compatibilidade do seu painel e de módulos com o PowerDNS. Já o Unbound é transparente como recursivo. 

 

 

Share this post


Link to post
Share on other sites

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

Share this post


Link to post
Share on other sites

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Edited by rubensk

Share this post


Link to post
Share on other sites

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Verdade, testei esta versão aqui e ela não esta vulnerável mesmo.

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...