A BIND névszerver sebezhető, ami komoly aggodalmakra ad okot – állítják biztonsági szakemberek. DDoS támadás esetén ugyanis probléma lehet a névkiszolgálásban.

A legutóbb a Spamhaus elleni kibertámadás során merültek fel komolyabb nehézségek a DNS szervereknél (Domain Name Server). Ezek a problémák azért is váltanak ki nagy visszhangot, mert a DNS-kiszolgálók kritikus fontosságú rendszerek, amelyek a névfordításért felelősek. A BIND, amely az egyik legelterjedtebb, nyílt forráskódú DNS szerver, a múlt jelentett be egy olyan biztonsági rést, ami komoly veszélyeket rejt – ráadásul épp az olyan szolgáltatásmegtagadási támadások esetében, mint ami a Spamhaust is érte.

Nem csak BIND van veszélyben

Bár a biztonsági rést a BIND-ben fedezték fel, az közel sem csak ezt a szervert érintheti. Minden olyan szolgáltatásra, alkalmazásra veszélyes, amelyek az érintett rendszereken futnak. A sebezhetőség lányege ugyanis az, hogy a támadással megcélzott szoftver a speciálisan összeállított hálózati kérések feldolgozásakor képes felemészteni az összes rendelkezésre álló szabad memóriát, ami végső soron a kiszolgálók összeomlását vagy megbénulását eredményezi.

"E körülmények szándékos kihasználása szolgáltatásmegtagadáshoz vezethet minden olyan autoritatív és rekurzív névkiszolgálón, amelyek az érintett BIND-verziók valamelyikét futtatják" - nyilatkozta az Internet Systems Consortium (ISC) – a szervezet a sérülékenységet éppen ezért minősítette kritikus veszélyességűnek.

Kockázatcsökkentés

Már egy sor olyan exploit készült, amely kifejezetten a most nyilvánosságra hozott sérülékenység kihasználására alkalmas. Szerencsére egyelőre csak a biztonsági kutatók készítettek ilyeneket, feltérképezendő a biztonsági rés okozta lehetséges problémákat. Az exploitok készítése során derül fény arra is, hogy a nyilvánosságra került adatok alapján könnyen és gyorsan készíthetők a DNS szerverekre veszélyes kódok.

300 Gbps sávszélességet foglalt le a Spamhaus elleni kibertámadás
Kulcsszerepbe kerülnek az MDM alkalmazások
A virtualizációval is erősíthető a mobilbiztonság

A BIND fejlesztői kidolgoztak egy olyan technikát, amivel csökkenthetők, illetve kiiktathatók a biztonsági hibából eredő kockázatok. Ehhez azonban ki kell kapcsolni a BIND-ban a reguláris kifejezések támogatását, amit a config.h állomány manuális módosításával, majd egy újrafordítással lehet megtenni. Ugyanakkor a fejlesztők kiadták a BIND 9.8.4-P2 és 9.9.2-P2 verzióit, amikben alapértelmezetten kikapcsolt a reguláris kifejezések támogatása. Majd hangsúlyozták, hogy a BIND 10-ben a sérülékenység nem található meg, de azt is jelezték, hogy a BIND 10-re való átállás nem minden esetben a legjobb megoldás. Emellett közölték, hogy a BIND Windows-kompatibilis kiadását sem sújtja a fenti rendellenesség.

(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)

Valami nagyon félrement rovat: ha nem mosolyogsz, nem is nyomtathatsz

A Canon egyik irodai megoldása egészen sajátos módon próbál jó munkehelyi hangulatot teremteni, ami pont az ilyen ötletek miatt lesz egyre nehezebb dolog.
 
A technológia jó védelmet nyújt – ha a felhasználó is betartja a játékszabályokat.

a melléklet támogatója az Invitech

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.