DNS
Petr Novotny
Petr.Novotny na antek.cz
Čtvrtek Duben 6 11:27:04 CEST 2000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 6 Apr 00, at 11:10, Hroza Pavel wrote:
> Co je na BINDu spatneho?
Viz moje ostatni maily. Abych to shrnul:
1. Je to program s dlouhou historii bezpecnostnich der. Podle
CERT je overflow v BINDu v soucasne dobe nejpouzivanejsi exploit.
2. Program neni navrzen bezpecne; je bezpecny ve smyslu "pokud
jsme to tentokrat napsali dobre, tak to uz je snad OK"; historie
rika, ze nelze bezpecnost zalozit na tom, ze v programu neni
prehlednuti.
3. Nema omezeni pouzite pameti.
4. Natazeni zony trva dlouho, nebot zona se musi "zkompilovat".
5. Neni oddelena autoritativni cast od cache.
6. BIND prijima DNS odpovedi od kohokoliv, prijdou-li ve spravny
cas. (Casty DNS spoofing: Zeptate se BINDu, a ihned mu
podstrcite otravenou odpoved.)
7. Vubec cely "credibility" mechanismus je nesmysl.
8. Za jistych podminek (glueless NS zaznam) BIND "cuts corners
short" (zkousi delat zkratky), cimz zbytecne prodluzuje trvani
dotazu (odpoved da nejdrive na prvni retry od klienta).
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBOOxKWFMwP8g7qbw/EQKI8ACfS3bbWsxvj4F7L6qv6SR+8D/m2UUAn14H
+C+uUf+28kiLwsQ/3GN4e9y4
=Qv7/
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux