Tutorial - Update Bind - 9.10.2-P3

[Bruno Marques]

Pessoal saiu um bug critico que afeta os servidores de DNS bind, com isso através de um simples exploit é possível derrubar o serviço de DNS remotamente.

https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html

Criamos um tutorial para atualizar o BIND manulmente para a versão 9.10.2-P3 (não contem o bug) para quem usa Centos 6, pois ele ainda não está disponível para atualização nos repositórios do yum.

OBS: USE POR SUA CONTA E RISCO.

###################################################
#  UPDATE MANUAL BIND 9.10.2-P3 (FIX BUG)
#  WWW.ATTIVIHOST.COM.BR - 05/08/2015
###################################################

# instalar dependencias
yum install openssl-devel libtool autoconf libcap-devel libidn-devel libxml2-devel krb5-devel   docbook-style-xsl  libxslt  GeoIP-devel  python-argparse  -y

# download bind
cd /root/
wget "https://www.isc.org/downloads/file/bind-9-10-2-p3/?version=tar-gz" -O bind-9-10-2-p3.tar.gz

# unzip 
tar -C ./ -xvf bind-9-10-2-p3.tar.gz
cd bind-9.10.2-P3/

# configure
./configure --prefix=/usr --sysconfdir=/etc --enable-threads --with-libtool

# install
make && make install

# update libraries
ldconfig

# restart bind & crond
service named restart

# named -v
BIND 9.10.2-P3

Abraços! 

[rubensk]

Na lista do GTER sugeriram isto aqui:

 

# yum install centos-release-cr
# yum update bind
# service named restart

 

 

Aliás, depois de corrigir o bug, vale investir um tempo em substituir o BIND. Para provedores de hospedagem eu tenho impressão que PowerDNS como autoritativo e Unbound como recursivo seja a melhor combinação, mas precisa ver compatibilidade do seu painel e de módulos com o PowerDNS. Já o Unbound é transparente como recursivo. 

 

 

[Bruno Marques Autor do tópico]

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

[rubensk]

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Edited August 5, 2015 by rubensk

[Bruno Marques Autor do tópico]

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Verdade, testei esta versão aqui e ela não esta vulnerável mesmo.