Дефекты безопасности системы доменных имен (DNS) недавно стали причиной крупных DDoS-атак. Прошлой осенью из-за отказа DNS пострадали пользователи Azure. Чуть позже небывалая по своим масштабам DDoS-атака на DNS-провайдера Dyn вывела из строя десятки тысяч веб-сайтов. Поэтому, когда Internet Systems Consortium (ISC) выпускает патчи для трех крупных проблем безопасности DNS-сервера BIND, вы должны их установить. Не откладывая на потом.

BIND является самым популярным DNS-сервером Интернета. Как и все DNS-серверы, он транслирует читаемые человеком доменные имена в IP-адреса. Он используется почти во всех серверах на основе Linux и Unix. По сути дела, если у вас работает DNS, особенно под Linux, у вас работает BIND.

Пока вы не установите патчи, в вашем BIND будут существовать три дыры в безопасности, и одна из них может быть использована для DDoS-атак. Это CVE-2016-9131 (испорченный ответ за запрос ANY может вызвать отказ assertion failure при рекурсии), CVE-2016-9147 (ошибка обработки ответа на запрос с некорректной DNSSEC-информацией может вызвать assertion failure) и CVE-2016-9444 (необычно сформированная DS-ресурсная запись может вызвать assertion failure).

Единственной хорошей новостью является то, что в описанном смысле наиболее уязвимы DNS-серверы, функционирующие в рекурсивном режиме. В этом режиме сервер BIND, не найдя ответ в своем локальном кэше, пытается обработать адрес путем запросов к вышестоящим авторитетным DNS-серверам. Авторитетные DNS-серверы сравнительно менее восприимчивы к атакам, использующим эти дыры в безопасности.

К счастью, для большинства Linux-дистрибутивов уже выпущены патчи для этой тройки проблем. Я очень рекомендую системным администраторам как можно скорее пропатчить эту существенную проблему безопасности BIND.

Неужели вы хотели бы оправдываться перед своим начальством за то, что ваша сеть вдруг перестала работать? Не думаю.

Версия для печати