Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

CERT предупреждает об уязвимости интернет-ПО 


 -->



CERT предупреждает об уязвимости интернет-ПО


CERT issues advice on Net server software


Деннис Фишер (Dennis Fisher), eWEEK


30 января 2001 г.


Не прошло и недели, как веб-сайты Microsoft пострадали из-за проблем с системой сервера доменных имен, а Координационный центр CERT уже распространил рекомендации по преодолению нескольких потенциально опасных проблем в ПО, работающем на многих DNS-серверах в интернете.

 Это последние рекомендации из длинной серии предупреждений о проблемах как в серверном ПО Berkeley Internet Name Domain (BIND), так и в DNS-системе в целом. С 1997 года только CERT выпустил 12 рекомендаций в связи с дефектами или пробелами в защите этого ПО. Последняя предупреждает о четырех лазейках в нескольких версиях сервера BIND, разработанных и контролируемых организацией Internet Software Consortium. BIND является стандартом де-факто программного обеспечения DNS-серверов, действующих на разных версиях Unix, включая Linux. 

 BIND 4 и BIND 8 (одна из последних версий ПО) содержат уязвимые места, позволяющие хакерам методом переполнения буфера получить управление над сервером и выполнять код с теми же привилегиями, что и у самого сервера BIND. В BIND 8 переполнение происходит в механизме управления подписями транзакций + CERT утверждает, что это гораздо более опасная лазейка, чем три других. гЭто одна из самых серьезных разновидностей пробелов в одном из наиболее ответственных компонентов интернет-инфраструктурыё, + отмечает аналитик CERT по интернет-защите Джеффри Ланца (Jeffrey Lanza). В версии 4 есть еще одна проблема, позволяющая вызвать переполнение буфера, к тому же в обеих версиях, 4 и 8, имеется дыра, открывающая хакерам доступ к стеку программ сервера с возможностью использования переменных программ и/или среды сервера. 

 Так как ПО BIND установлено практически на всех DNS-серверах под Unix, эксперты считают многочисленные пробелы в защите программы неизбежным злом, с которым приходится мириться. Для одного пробела BIND 4 + ошибки механизма проверки достоверности входных данных + Internet Software Consortium некоторое время назад предложил поправку, но CERT предупреждает, что не все независимые поставщики включили ее в распространяемую ими версию ПО. 

 ISC опубликовал на своем веб-сайте информацию о пробелах в защите и рекомендует всем пользователям обновить программу на одну из версий BIND 4.9.8 или BIND 8.2.3, в которых все указанные дефекты исправлены. 

 Три из четырех пробелов в защите BIND были обнаружены отделением PGP Security компании Network Associates.










Обсуждение статьи







ZDNET Russia          

       
          
             <== Back to main page