В DNS-сервере BIND обнаружена критически опасная уязвимость

Александр Панасенко 01 Апреля 2013 - 11:09

...

Уязвимость в популярном программном обеспечении BIND, используемом для создания серверов доменных имен, позволяет полностью обрушить работу системы и даже затронуть другие сервисы, работающие на том же оборудовании. С таким заявлением в пятницу выступили разработчики из ISC (Internet Systems Consortium), ведущие разработку BIND.

ISC представляет собой некоммерческую организацию, занимающуюся созданием BIND уже на протяжении многих лет. Здесь сообщили, что уязвимости подвержены только те версии BIND, что ориентированы на работу в Unix/Linux-системах, тогда как Windows-вариант BIND не подвержен данной проблеме, пишет cybersecurity.ru.

Согласно обнародованной информации, уязвимость кроется по данным разработчиков, в системе обработки регулярных выражений, за которые отвечает библиотека libdns, входящая в BIND. Уязвимы оказываются версии BIND 9.7.x, 9.8.0 - 9.8.5b1 и 9.9.0 - 9.9.3b1. Отметим, что все основные вендоры коммерческих Linux- и Unix-систем в пятницу или субботу уже выпустили экстренные исправления для DNS-сервера.

По словам специалистов, опасность данной уязвимости заключается в том, что BIND на сегодня является самым популярным DNS-сервером, а для Unix/Linux-систем он вообще является стандартом де-факто. Также BIND используют Solaris, Mac OS X и FreeBSD.

Уязвимость можно использовать путем отправки специально сконструированных запросов, которые вынуждают демон BIND выйти за пределы отведенной памяти и провоцируют крах сервера с последующим доступом к другим данным на атакуемом сервере. ISC отмечает, что данный баг является критически опасным и ему подвержены как авторитативные, так и рекурсивные DNS-серверы.

Как сообщили в ISC, если у пользователя нет возможности обновить BIND из новых исходников, доступных на сайте производителя, ему необходимо запретить использование регулярных выражений, вручную отредактировав файл config.h согласно инструкциям, доступным по адресу https://kb.isc.org/article/AA-00879

Версии BIND 7.x также подвержены уязвимости, но они не исправлены, так как больше не поддерживаются, версии BIND 10.x не подвержены уязвимости, но пока сам разработчик не рекомендует работу с ними на рабочих серверах.

В ISC уже сообщили, что им известно об атаках на серверы BIND, используемых на реальных серверах. В компании Arbor Networks, оказывающей защиту от DDoS-атак, также говорят об известных им случаях атак и призывают как можно быстрее обновиться.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 18:59

UserGate DCFW Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) UserGate

UserGate выпустил первую LTS-версию своего NGFW

UserGate выпустил первую LTS-версию межсетевого экрана нового поколения UserGate NGFW. Релиз uNGFW 7.5 LTS стал частью обновлённого подхода компании к выпуску версий и контролю качества, который начали менять в 2025 году.

LTS означает Long Term Support — версию с длительной поддержкой. После дополнительного согласования с заказчиками релизу планируют присвоить статус General Deployment. После этого его будут рекомендовать для установки всем клиентам.

Одним из главных изменений в uNGFW 7.5 LTS стал переработанный кластер отказоустойчивости. В режиме Active-Passive теперь можно использовать виртуальные MAC-адреса, что должно упростить сетевую интеграцию и сделать работу кластера стабильнее. Для облачных развертываний добавили отправку служебного трафика в режиме Unicast, в том числе с учётом работы в Yandex Cloud.

Также появились новые инструменты мониторинга. Например, система может проверять доступность сетевых интерфейсов и отслеживать отказ одного из соединений bond-интерфейса на активном узле. Администратор при этом сам определяет, какие интерфейсы считать критичными. Управление кластером вынесли в отдельный раздел веб-интерфейса.

Второй крупный блок изменений касается VPN. В UserGate говорят о росте производительности — на некоторых платформах до двух раз. Также добавлены аутентификация по предварительно согласованному ключу для IKEv2 и поддержка анонсов нескольких сетей в подключениях Site-to-Site на том же протоколе.

Кроме того, релиз поддерживает UserGate Client 7.5 LTS для защищённого удалённого доступа и NAC, DTLS VPN, а интерфейс настройки VPN-подключений переработали.

Ещё одно заметное изменение — автоматический сбор обезличенной телеметрии, но только с согласия заказчика. Она должна помочь разработчикам понимать, какие функции используются чаще, где возникают ошибки и какие сценарии стоит дорабатывать в первую очередь.

В UserGate отмечают, что релиз тестировали участники программы раннего доступа uTechmates. Версия уже включена в сертификат ФСТЭК, а вариант uNGFW 7.5 LTS с ГОСТ VPN проходит сертификацию в ФСБ России.

Параллельно компания выпустила LTS-версии других продуктов экосистемы: UserGate Client 7.5 LTS, UserGate Log Analyzer 7.5 LTS и UserGate Management Center 7.5 LTS. Все они уже доступны для скачивания в личном кабинете UserGate.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!