Vulnerabilità in Bind9
Questa sera controllando i log (/var/log/syslog) del mio server Debian ho trovato un sacco di attività sul mio Bind9
Feb 21 06:25:53 logindot named[949]: client xx.xxx.xxx.xxx#25345: query (cache) 'isc.org/ANY/IN' denied
Feb 21 06:25:53 logindot named[949]: client xx.xxx.xxx.xxx#25345: query (cache) 'isc.org/ANY/IN' denied
[...]
Spulciando qua è la ho trovato la causa:
A nameserver can be locked up if it can be induced to load a specially crafted combination of resource records. CVE-2012-5166
Detto questo sarà necessario aggiornare i vostri Bind9 e vi consiglio di utilizzare anche questo workaround descritto in questo sito (http://www.techish.net/uncategorized/bind-dns-security-hole-workaround/)
nel file: /etc/bind/named.conf.options
aggiungere: minimal-responses yes
quindi riavviare Bind9
Feb 21 06:25:53 logindot named[949]: client xx.xxx.xxx.xxx#25345: query (cache) 'isc.org/ANY/IN' denied
Feb 21 06:25:53 logindot named[949]: client xx.xxx.xxx.xxx#25345: query (cache) 'isc.org/ANY/IN' denied
[...]
Spulciando qua è la ho trovato la causa:
A nameserver can be locked up if it can be induced to load a specially crafted combination of resource records. CVE-2012-5166
Detto questo sarà necessario aggiornare i vostri Bind9 e vi consiglio di utilizzare anche questo workaround descritto in questo sito (http://www.techish.net/uncategorized/bind-dns-security-hole-workaround/)
nel file: /etc/bind/named.conf.options
aggiungere: minimal-responses yes
;
quindi riavviare Bind9
Commenti
Posta un commento