DNS

[Petr Novotny]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 6 Apr 00, at 11:10, Hroza Pavel wrote:

> Co je na BINDu spatneho?

Viz moje ostatni maily. Abych to shrnul:
1. Je to program s dlouhou historii bezpecnostnich der. Podle 
CERT je overflow v BINDu v soucasne dobe nejpouzivanejsi exploit.
2. Program neni navrzen bezpecne; je bezpecny ve smyslu "pokud 
jsme to tentokrat napsali dobre, tak to uz je snad OK"; historie 
rika, ze nelze bezpecnost zalozit na tom, ze v programu neni 
prehlednuti.
3. Nema omezeni pouzite pameti.
4. Natazeni zony trva dlouho, nebot zona se musi "zkompilovat".
5. Neni oddelena autoritativni cast od cache.
6. BIND prijima DNS odpovedi od kohokoliv, prijdou-li ve spravny 
cas. (Casty DNS spoofing: Zeptate se BINDu, a ihned mu 
podstrcite otravenou odpoved.)
7. Vubec cely "credibility" mechanismus je nesmysl.
8. Za jistych podminek (glueless NS zaznam) BIND "cuts corners 
short" (zkousi delat zkratky), cimz zbytecne prodluzuje trvani 
dotazu (odpoved da nejdrive na prvni retry od klienta).


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOOxKWFMwP8g7qbw/EQKI8ACfS3bbWsxvj4F7L6qv6SR+8D/m2UUAn14H
+C+uUf+28kiLwsQ/3GN4e9y4
=Qv7/
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]