Исходное сообщение
"В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..." Отправлено opennews, 17-Янв-18 13:31
Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости ([https://www.mail-archive.com/bind-announce@lists.isc.or...) (CVE-2017-3145 (https://security-tracker.debian.org/tracker/CVE-2017-3145)), которую можно использовать для инициирования отказа в обслуживании (крах процесса named) при выполнении рекурсивного запроса к DNS-серверу, подконтрольному злоумышленнику. Проблема проявляется только при работе BIND в качестве резолвера с поддержкой DNSSEC (в качестве обходного пути защиты можно отключить DNSSEC). Кроме того,  в очередном обновлении ISC DHCP также устранена у уязвимость (https://kb.isc.org/article/AA-01541) (CVE-2017-3144 (https://security-tracker.debian.org/tracker/CVE-2017-3144)), которую можно использовать для инициирования отказа в обслуживании (исчерпание  доступных сокетов) через наводнение специально оформленными соединениями к OMAPI, которые остаются незакрытыми. В качестве обходного пути защиты можно ограничить доступ к сетевому порту OMAPI. Разработчики из ISC также опубликовали (https://www.isc.org/blogs/meltdown/) отчёт с результатами тестирования влияния патчей  для устранения уязвимости  Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856) в ядре Linux (патчи KPTI) на производительность DNS-сервера с BIND 9. Для тестирования использовался сервер Dell R430  с 12-ядерным CPU Xeon E5-2680 v3 и 10-гигабитным Ethernet Intel X710, на который был установлен дистрибутив  Fedora 27 с ядром Linux 4.14.11-300.fc27.x86_64. Расхождения в производительности с защитой от Meltdown и без активации патча оцениваются как несущественные. URL: https://www.mail-archive.com/bind-announce@lists.isc.or... Новость: http://www.opennet.ru/opennews/art.shtml?num=47924