Clicky

Ir para conteúdo

Bruno Marques

Tutorial - Update Bind - 9.10.2-P3

Posts Recomendados

Pessoal saiu um bug critico que afeta os servidores de DNS bind, com isso através de um simples exploit é possível derrubar o serviço de DNS remotamente.

https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html

Criamos um tutorial para atualizar o BIND manulmente para a versão 9.10.2-P3 (não contem o bug) para quem usa Centos 6, pois ele ainda não está disponível para atualização nos repositórios do yum.

OBS: USE POR SUA CONTA E RISCO.

###################################################
#  UPDATE MANUAL BIND 9.10.2-P3 (FIX BUG)
#  WWW.ATTIVIHOST.COM.BR - 05/08/2015
###################################################

# instalar dependencias
yum install openssl-devel libtool autoconf libcap-devel libidn-devel libxml2-devel krb5-devel   docbook-style-xsl  libxslt  GeoIP-devel  python-argparse  -y

# download bind
cd /root/
wget "https://www.isc.org/downloads/file/bind-9-10-2-p3/?version=tar-gz" -O bind-9-10-2-p3.tar.gz

# unzip 
tar -C ./ -xvf bind-9-10-2-p3.tar.gz
cd bind-9.10.2-P3/

# configure
./configure --prefix=/usr --sysconfdir=/etc --enable-threads --with-libtool

# install
make && make install

# update libraries
ldconfig

# restart bind & crond
service named restart

# named -v
BIND 9.10.2-P3

Abraços! 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Na lista do GTER sugeriram isto aqui:

 

# yum install centos-release-cr
# yum update bind
# service named restart

 

 

Aliás, depois de corrigir o bug, vale investir um tempo em substituir o BIND. Para provedores de hospedagem eu tenho impressão que PowerDNS como autoritativo e Unbound como recursivo seja a melhor combinação, mas precisa ver compatibilidade do seu painel e de módulos com o PowerDNS. Já o Unbound é transparente como recursivo. 

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Editado por rubensk

Compartilhar este post


Link para o post
Compartilhar em outros sites

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Verdade, testei esta versão aqui e ela não esta vulnerável mesmo.

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...