Опасная уязвимость в DNS-сервере BIND

Александр Панасенко 29 Июля 2013 - 15:19

...

Организация ISC выпустила экстренные обновления DNS-сервера BIND с устранением уязвимости (CVE-2013-4854), позволяющей инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитетные серверы. Ограничение доступа через ACL не позволяет защититься от проблемы, помочь может только ограничение доступа к сетевому порту на уровне пакетного фильтра. Проблема усугубляется тем, что информация о методе эксплуатации появилась в Сети до выхода исправления и несколько компаний зафиксировали применения уязвимости для атаки на DNS-серверы.

В настоящий момент уязвимость уже исправлена в выпусках BIND 9.9.3-P2 и 9.8.5-P2, все остальные версии BIND 9, новее ветки 9.6, подвержены атаке. Для BIND 9.7 официальное исправление не выпущено, так как время поддержки данной ветки прекращено, тем не менее уже доступно обновление пакетов с BIND 9.7 для Debian. Аналогичное обновление также выпустил проект FreeBSD. RHEL/CentOS, Fedora, SUSE, openSUSE, Ubuntu и другие дистрибутивы Linux обновления на момент написания новости ещё не выпустили, сообщает opennet.ru.

Отдельно можно отметить объявление о добавлении в состав будущих выпусков BIND модуля RRL, предоставляющий эффективный механизм для защиты от проведения DDoS-атак с использованием DNS. Речь ведётся не об атаках, направленных на выведение из строя DNS-сервера, а об использовании DNS-серверов для атак на другие системы. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов (исходный трафик приумножается примерно в 100 раз).

Во втором квартале 2013 года частота проведения подобных атак возросла на 20%. При этом в среднем при каждой такой DDoS атаке генерируется трафик порядка 50 млн пакетов в секунду. RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя (заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие). Модуль RRL добавляет поддержку директивы responses-per-second в блок rate-limit, позволяющей задать допустимое число ответов в секунду.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 15 Октября 2025 - 11:29

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

OpenAI разрешит эротические диалоги в ChatGPT для взрослых юзеров

Глава OpenAI Сэм Альтман объявил, что компания готовится ослабить ряд ограничений ChatGPT, сделав его поведение более «человечным» и эмоциональным. Кроме того, для подтверждённых взрослых пользователей появится возможность вести эротические диалоги.

Об этом Альтман написал во вторник на платформе X (бывший Twitter):

«Мы сделали ChatGPT довольно ограниченным, чтобы соблюдать осторожность в вопросах психического здоровья. Понимаем, что из-за этого он стал менее полезным и приятным для многих пользователей. Но, учитывая серьёзность темы, мы хотели сделать всё правильно».

«В декабре, когда полностью внедрим проверку возраста, мы разрешим больше — в том числе эротические диалоги для подтверждённых взрослых», — заявил Альтман.

Это заявление стало неожиданным поворотом: ещё недавно OpenAI активно боролась с тревожными историями о пользователях, которые формировали зависимость от ChatGPT.

Речь идёт, в частности, о случаях, когда юзеры GPT-4o попадали в иллюзорные сценарии — например, верили, что им «предназначено спасти мир» или общались с ИИ, воспринимая его как близкого человека.

Были и трагические истории. Родители одного подростка подали в суд на OpenAI, утверждая, что ChatGPT подталкивал их сына к самоубийству.

В ответ компания внедрила серию мер безопасности: механизмы отслеживания тревожного поведения, фильтры эмоциональных сценариев и функции для родителей, включая возрастное определение и семейный контроль.

Теперь же Альтман утверждает, что OpenAI «удалось смягчить серьёзные проблемы, связанные с психическим здоровьем», и компания готова расслабить правила.

Альтман подчеркнул, что новые функции станут частью принципа «treat adult users like adults» — «относиться ко взрослым как к взрослым».

Верификация возраста будет осуществляться с помощью системы, над которой OpenAI работает уже несколько месяцев. Если алгоритм ошибочно определит взрослого как несовершеннолетнего, пользователю предложат загрузить фото удостоверения личности, чтобы подтвердить возраст.

Представитель OpenAI подтвердил TechCrunch, что эротические функции ChatGPT будут доступны только взрослым. При этом пока неясно, распространится ли послабление на голосовые и визуальные функции ИИ — например, генерацию эротических изображений или видео.

Тем не менее решение вызывает смешанную реакцию. Эксперты по психическому здоровью уже задаются вопросом, не приведёт ли «эротический ChatGPT» к новым рискам для уязвимых пользователей — особенно учитывая, что исследования показывают: