|
 Все новости от 31 января 2001 г.
CERT предупреждает об уязвимости интернет-ПО
Не прошло и недели, как веб-сайты Microsoft пострадали из-за проблем с системой сервера доменных имен, а Координационный центр CERT уже распространил рекомендации по преодолению нескольких потенциально опасных проблем в ПО, работающем на многих DNS-серверах в интернете.
Это последние рекомендации из длинной серии предупреждений о проблемах как в серверном ПО Berkeley Internet Name Domain (BIND), так и в DNS-системе в целом. С 1997 года только CERT выпустил 12 рекомендаций в связи с дефектами или пробелами в защите этого ПО. Последняя предупреждает о четырех лазейках в нескольких версиях сервера BIND, разработанных и контролируемых организацией Internet Software Consortium. BIND является стандартом де-факто программного обеспечения DNS-серверов, действующих на разных версиях Unix, включая Linux.
BIND 4 и BIND 8 (одна из последних версий ПО) содержат уязвимые места, позволяющие хакерам методом переполнения буфера получить управление над сервером и выполнять код с теми же привилегиями, что и у самого сервера BIND. В BIND 8 переполнение происходит в механизме управления подписями транзакций — CERT утверждает, что это гораздо более опасная лазейка, чем три других. «Это одна из самых серьезных разновидностей пробелов в одном из наиболее ответственных компонентов интернет-инфраструктуры», — отмечает аналитик CERT по интернет-защите Джеффри Ланца (Jeffrey Lanza). В версии 4 есть еще одна проблема, позволяющая вызвать переполнение буфера, к тому же в обеих версиях, 4 и 8, имеется дыра, открывающая хакерам доступ к стеку программ сервера с возможностью использования переменных программ и/или среды сервера.
Так как ПО BIND установлено практически на всех DNS-серверах под Unix, эксперты считают многочисленные пробелы в защите программы неизбежным злом, с которым приходится мириться. Для одного пробела BIND 4 — ошибки механизма проверки достоверности входных данных — Internet Software Consortium некоторое время назад предложил поправку, но CERT предупреждает, что не все независимые поставщики включили ее в распространяемую ими версию ПО.
ISC опубликовал на своем веб-сайте информацию о пробелах в защите и рекомендует всем пользователям обновить программу на одну из версий BIND 4.9.8 или BIND 8.2.3, в которых все указанные дефекты исправлены.
Три из четырех пробелов в защите BIND были обнаружены отделением PGP Security компании Network Associates.  В продолжение темы:
 | smth
31 Jan 2001 10:06 PM |
| а такую версию BIND как 9.*.* они не рассматривали ?! а она уже давно как в разработке ... типа версия 9.0.1 вышла уж ... |
|
| Paxan - paxan1 chat.ru
1 Feb 2001 7:37 AM |
| Все заплатки ихнии ерунда как ломалось так и будет ломаться!!!??? |
|
| Yago - yvoronovyahoo.com
1 Feb 2001 3:02 PM |
| To smth: Думаю, очень небольшой процент админов отслеживает последние версии. Подавляющее большинство работает все-таки на 4 и 8. И, поскольку ломают обычно что-либо широко распространенное, до .9 руки не дошли, хотя я больше чем уверен, что дырок там достаточно. (Поставлю сегодня, посмотрю :)) |
|
|
