Уязвимость в BIND и NTPD

8 января 2009 года

Организация ISC выпустила обновление DNS сервера BIND (9.4.3-P1, 9.5.1-P1, 9.6.0-P1, 9.3.6-P1) и сервера для синхронизации точного времени NTP 4.2.4p6. Внеплановое обновление вызвано обнаружением уязвимости в OpenSSL, позволяющей принять сформированную злоумышленником подпись как корректную, при проверке подписи ключей DSA и ECDSA, используемые совместно с SSL/TLS. Данная уязвимость может быть (Архивная копия от 21 апреля 2015 на Wayback Machine) использована для труднореализуемой подстановки злоумышленником (спуфинга) ответов для DNSKEY или NTP запросов, при использовании алгоритмов DSA или NSEC3DSA.

В качестве временного решения проблемы, можно отключить поддержку DNSSEC или добавить в BIND 9.3, 9.4, 9.5 "disable-algorithms . { DSA; };", а для BIND 9.6 - "disable-algorithms . { DSA; NSEC3DSA; };".

• Главная ссылка к новости (http://permalink.gmane.org/gma...) (Архивная копия от 21 апреля 2015 на Wayback Machine)
• FreeBSD-SA-09:04.bind
• FreeBSD-SA-09:03.ntpd

Эта статья содержит материалы из статьи «Уязвимость в BIND и NTPD», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0) — при использовании необходимо указать автора, оригинальный источник со ссылкой и лицензию.

Эта статья загружена автоматически ботом NewsBots в архив и не проверялась редакторами Викиновостей.