Linux E X P R E S

Facebook

Kritická chyba démona BIND může mít závažné dopady na Internet

Hrozba

V DNS démonu BIND byla nalezena závažná chyba, která umožňuje provést útok typu DoS. Vzhledem k velké rozšířenosti tohoto softwaru by masivnější zneužití mohlo mít významné dopady na celý Internet.


Software BIND je zřejmě nejpoužívanějším DNS serverem v rámci celého Internetu. Nyní v něm byla nalezena kritická chyba, která umožňuje provést útok typu denial-of-service (DoS) a vyřadit tak daný server z provozu. Postiženy jsou verze od 9.1.0 do 9.10.2-P2. Vzhledem k rozšířenosti programu to znamená významnou hrozbu pro celý Internet, masivnější zneužití by mohlo jeho fungování výrazně narušit.

Robert Graham z bezpečnostní firmy Errata Security vidí problém v samotné koncepci programu BIND: „Největším problémem [programu BIND] je, že má příliš mnoho funkcí. Snaží se implementovat všechny člověku známé funkce DNS, z nichž je pro veřejně dostupné servery potřeba jen několik. Dnešní chyba byla například ve zřídka používané funkce TKEY. DNS servery vystavené veřejně by měly mít minimální počet funkcí – server chlubící se tím, že má maximální počet funkcí, je automaticky diskvalifikován.“

Poznámka autora: Vzhledem k možnosti výskytu podobných zranitelností se pro základní DNS infrastrukturu – tedy kořenovou zónu a jednotlivé národní a generické domény – kombinuje více různých softwarů (například BIND, NSD a Knot DNS), aby při útoku na některý software zůstala podstatná část serverů funkční. Těžší následky by tedy měl útok spíše u registrátorů domén a poskytovatelů internetového připojení, kde může leckde přetrvávat „monokultura“ programu BIND.

Diskuze (0) Nahoru