Ir para conteúdo

Featured Replies

Postado

Pessoal saiu um bug critico que afeta os servidores de DNS bind, com isso através de um simples exploit é possível derrubar o serviço de DNS remotamente.

https://kb.isc.org/article/AA-01272/0/CVE-2015-5477%3A-An-error-in-handling-TKEY-queries-can-cause-named-to-exit-with-a-REQUIRE-assertion-failure.html

Criamos um tutorial para atualizar o BIND manulmente para a versão 9.10.2-P3 (não contem o bug) para quem usa Centos 6, pois ele ainda não está disponível para atualização nos repositórios do yum.

OBS: USE POR SUA CONTA E RISCO.

###################################################
#  UPDATE MANUAL BIND 9.10.2-P3 (FIX BUG)
#  WWW.ATTIVIHOST.COM.BR - 05/08/2015
###################################################

# instalar dependencias
yum install openssl-devel libtool autoconf libcap-devel libidn-devel libxml2-devel krb5-devel   docbook-style-xsl  libxslt  GeoIP-devel  python-argparse  -y

# download bind
cd /root/
wget "https://www.isc.org/downloads/file/bind-9-10-2-p3/?version=tar-gz" -O bind-9-10-2-p3.tar.gz

# unzip 
tar -C ./ -xvf bind-9-10-2-p3.tar.gz
cd bind-9.10.2-P3/

# configure
./configure --prefix=/usr --sysconfdir=/etc --enable-threads --with-libtool

# install
make && make install

# update libraries
ldconfig

# restart bind & crond
service named restart

# named -v
BIND 9.10.2-P3

Abraços! 


Postado

Na lista do GTER sugeriram isto aqui:

 

# yum install centos-release-cr
# yum update bind
# service named restart

 

 

Aliás, depois de corrigir o bug, vale investir um tempo em substituir o BIND. Para provedores de hospedagem eu tenho impressão que PowerDNS como autoritativo e Unbound como recursivo seja a melhor combinação, mas precisa ver compatibilidade do seu painel e de módulos com o PowerDNS. Já o Unbound é transparente como recursivo. 

 

 


Postado
  • Autor

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 


Postado

Verdade Rubens , porém neste repositório ainda está uma versão vulnerável.

 

Package                           Arch                          Version                                            Repository                 Size
====================================================================================================================================================
Updating:
 bind                              x86_64                        32:9.8.2-0.37.rc1.el6_7.2                          cr                        4.0 M

 

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Editado por rubensk


Postado
  • Autor

O pessoal que instalou diz que resolveu o problema. Um detalhe de quando se trabalha com repositórios é que muitos fixes de segurança são back-ported para versões mais antigas, então o fato do 9.8.2 "baunilha" ser vulnerável não significa que o "9.8.2-0.37.rc1.el6_7.2" o seja. Para checar isso tem que ver o changelog do pacote. 

Dito isso, no caso de software DNS - tanto recursivo quanto autoritativo - trabalhar com os pacotes de distribuição é realmente triste, pois muitas vezes se precisa de um recurso novo para lidar com uma situação, e a distribuição está parada numa versão velha. O jeito é fazer os próprios pacotes e distribuir internamente, ou make config/make/make install... 

... outro com essa característica é o OpenSSL, por causa do suporte a algoritmos de criptografia. 

 

 

 

 

 

 

 

Verdade, testei esta versão aqui e ela não esta vulnerável mesmo.

 

 


Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?