The Diary
Дневникът на Георги
<- Сряда, 9 Юли 2008 | Начална страница | Петък, 11 Юли 2008 ->
Четвъртък, 10 Юли 2008
Който следи бюлетините за компютърна сигурност знае, че от няколко дни сериозно се говори за Multiple Vendors DNS Spoofing Vulnerability.
Днес инсталирах обновената версия на bind и бях учуден, че тестът
на DoxPara продължава да твърди, че имам уязвима версия. Проблемът
се оказа при мен, разбира се. На времето когато съм настройвал
сървърите съм им сложил твърдо query-source address * port 53;
в named.conf
.
Тъй като конкретно проблемът е в комбинацията от малкия брой DNSID-та, които могат да се ползват (16 bit, ограничение на протокола) и фактът, че много резолвери ползват един и същи порт (както аз на ръка бях накарал моят резолвер), затова и обновяването не ми помагаше.
Качвайте пачовете и внимавайте ако имате някой правила във Firewall настройките си, които разчитат, че DNS заявките ще излизат само от udp/53.
За съжаление истинският проблем, а именно 16 битовите DNSID (pdf) е нерешим без промени в протокола.
[ Коментари: 2 ]Коментари
От невнимание. Основно правило е, че човек трудно редактира това, което пише (поне при мен важи с пълна сила). Естествено като си прочетох изречението, грешката е очевидна.
Disclaimer: Except where otherwise noted all opinions expressed here are personal
opinions of the author and do not reflect official opinions of my employer or
any other person, company or organization associated with the author.
Copyright: Except where otherwise noted the content of this site is licensed under a
Creative Commons Attribution License. Текстът на договора за ползване на български
Copyright (cc) 2003-2011 Georgi Chorbadzhiyski. Some rights reserved.
Comments, texts and pictures not signed by me are property of their respective owners.
Страницата е генерирана от Glog v3.99-test
"... някоИ правила във..."
Винаги съм се чудел откъде идва това поголовно и масово бъркане на 'Й' и 'И'.
Написа Иван на 12-Jul-2008 08:35