Denial of service lekken in BIND 8 en 9
Het Engelse Gov CERT heeft een waarschuwing doen uitgaan voor lekken in BIND. De eerste advisory betreft een lek in v8.4.4 en v8.4.5, waardoor een denial of service veroorzaakt kan worden. Als "work around" wordt aangeraden om "recursion en glue fetching" uit te schakelen. Er is echter ook een nieuwe versie, 8.4.6, verschenen die het lek verhelpt.
Naast het lek in BIND 8 is er ook een lek in BIND 9 ontdekt. Ook dit keer betreft het een lek waardoor een denial of service veroorzaakt kan worden. Als "work around" wordt aangeraden om "dnssec validation op het Options/View niveau" uit te schakelen. Er is inmiddels ook voor BIND 9 een nieuwe versie, 9.3.1, verschenen die het lek verhelpt.
soort zinloze opmerkingen maken als er weer eens een gat in
iets van MS is gevonden)
lekken (en de configuratie) van BIND.
Ik kan iedereen aanraden om over te stappen op iets wat NIET Bind heet,
en als je niet tinydns wilt (wegens flametrower DJB), gebruik dan maradns,
of powerdns.
(hier zien we trouwens dat niet alleen linux-zealots dit
soort zinloze opmerkingen maken als er weer eens een gat in
iets van MS is gevonden)
De zin: 'Bind heeft helaas niet zo'n veilige geschiedenis.'
is 100% correct. Dat de bugs elke keer snel verholpen zijn doet niks af
aan het feit dat BIND nu al zo lang bestaat, en zo uitontwikkeld zou moeten
zijn een bug zeeeer zeldzaam zou moeten zijn.
Desondanks blijven er maar remote exploitable bugs opduiken. Dit is voor
mij een teken dat de programmeurs die aan BIND werken incompetent zijn,
of er iets fundamenteels fout is aan BIND. Na jaren van patching en andere
BIND onzin ben ik geneigd het laatste te geloven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?