Jump to content

Tutorial - Update Bind - 9.10.2-P3

Bruno Marques

By Bruno Marques
in Domínios & DNS

 Share

Recommended Posts

Bruno Marques

Bruno Marques

Posted
Posted

Pessoal saiu um bug critico que afeta os servidores de DNS bind, com isso através de um simples exploit é possível derrubar o serviço de DNS remotamente.

https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html

Criamos um tutorial para atualizar o BIND manulmente para a versão 9.10.2-P3 (não contem o bug) para quem usa Centos 6, pois ele ainda não está disponível para atualização nos repositórios do yum.

OBS: USE POR SUA CONTA E RISCO.

###################################################
#  UPDATE MANUAL BIND 9.10.2-P3 (FIX BUG)
#  WWW.ATTIVIHOST.COM.BR - 05/08/2015
###################################################

# instalar dependencias
yum install openssl-devel libtool autoconf libcap-devel libidn-devel libxml2-devel krb5-devel   docbook-style-xsl  libxslt  GeoIP-devel  python-argparse  -y

# download bind
cd /root/
wget "https://www.isc.org/downloads/file/bind-9-10-2-p3/?version=tar-gz" -O bind-9-10-2-p3.tar.gz

# unzip 
tar -C ./ -xvf bind-9-10-2-p3.tar.gz
cd bind-9.10.2-P3/

# configure
./configure --prefix=/usr --sysconfdir=/etc --enable-threads --with-libtool

# install
make && make install

# update libraries
ldconfig

# restart bind & crond
service named restart

# named -v
BIND 9.10.2-P3

Abraços! 

0
Link to comment
Share on other sites
rubensk

rubensk

Posted
Posted

Na lista do GTER sugeriram isto aqui:

 

# yum install centos-release-cr
# yum update bind
# service named restart

 

 

Aliás, depois de corrigir o bug, vale investir um tempo em substituir o BIND. Para provedores de hospedagem eu tenho impressão que PowerDNS como autoritativo e Unbound como recursivo seja a melhor combinação, mas precisa ver compatibilidade do seu painel e de módulos com o PowerDNS. Já o Unbound é transparente como recursivo. 

 

 

0
Link to comment
Share on other sites
Bruno Marques

Bruno Marques

Posted
  • Author
Posted

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

0
Link to comment
Share on other sites
rubensk

rubensk

Posted
Posted (edited)

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Edited by rubensk
0
Link to comment
Share on other sites
Bruno Marques

Bruno Marques

Posted
  • Author
Posted

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Verdade, testei esta versão aqui e ela não esta vulnerável mesmo.

 

 

0
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

Do you agree with our terms?

  I accept
-