Опасная уязвимость в DNS-сервере BIND

Александр Панасенко 29 Июля 2013 - 15:19

...

Организация ISC выпустила экстренные обновления DNS-сервера BIND с устранением уязвимости (CVE-2013-4854), позволяющей инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитетные серверы. Ограничение доступа через ACL не позволяет защититься от проблемы, помочь может только ограничение доступа к сетевому порту на уровне пакетного фильтра. Проблема усугубляется тем, что информация о методе эксплуатации появилась в Сети до выхода исправления и несколько компаний зафиксировали применения уязвимости для атаки на DNS-серверы.

В настоящий момент уязвимость уже исправлена в выпусках BIND 9.9.3-P2 и 9.8.5-P2, все остальные версии BIND 9, новее ветки 9.6, подвержены атаке. Для BIND 9.7 официальное исправление не выпущено, так как время поддержки данной ветки прекращено, тем не менее уже доступно обновление пакетов с BIND 9.7 для Debian. Аналогичное обновление также выпустил проект FreeBSD. RHEL/CentOS, Fedora, SUSE, openSUSE, Ubuntu и другие дистрибутивы Linux обновления на момент написания новости ещё не выпустили, сообщает opennet.ru.

Отдельно можно отметить объявление о добавлении в состав будущих выпусков BIND модуля RRL, предоставляющий эффективный механизм для защиты от проведения DDoS-атак с использованием DNS. Речь ведётся не об атаках, направленных на выведение из строя DNS-сервера, а об использовании DNS-серверов для атак на другие системы. Пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с указанием фиктивного обратного адреса, в качестве которого указан IP жертвы, создаётся волна трафика из обратных ответов (исходный трафик приумножается примерно в 100 раз).

Во втором квартале 2013 года частота проведения подобных атак возросла на 20%. При этом в среднем при каждой такой DDoS атаке генерируется трафик порядка 50 млн пакетов в секунду. RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя (заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие). Модуль RRL добавляет поддержку директивы responses-per-second в блок rate-limit, позволяющей задать допустимое число ответов в секунду.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 15 Октября 2025 - 15:48

Kaspersky Safe Kids Корпорации Родительский контроль Системы контентной веб-фильтрации Защита от мошенничества

Т2 будет предоставлять все услуги ИБ под единым брендом Safewall

Российский оператор связи Т2 объединил все свои ИБ-сервисы на общей платформе и зарегистрировал под нее новый товарный знак — Safewall. Инвестиции в новый проект, по оценкам экспертов, составили несколько сотен миллионов рублей.

В настоящее время абонентам Т2 доступны возможности проактивной защиты, поведенческого анализа, антифрод, голосовой ассистент. Развивать SafeWall планируется за счет добавления новых модулей — собственных разработок и решений партнеров компании.

Базовый уровень безопасности бесплатен и включает блокировку мошеннических звонков, антиспам для СМС, защиту от скрытых подписок, защиту от взлома аккаунта Госуслуг (запрет на доставку СМС-кодов во время звонков).

В рамках бесплатного ИБ-пакета также доступны блокировка телефонных вызовов и СМС с зарубежных номеров, автоматическая маркировка входящих звонков, мониторинг утечек персональных данных, помощь голосового ассистента.

Набор защитных функций можно расширить за счет подключения платных сервисов — таких как «Где мои дети» (геолокация), «Антивирус Kaspersky» и Kaspersky Safe Kids.

Получить доступ к Safewall можно из соответствующего раздела в мобильном приложении Т2: