The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от opennews (??) on 17-Янв-18, 13:31 
Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости ([https://www.mail-archive.com/bind-announce@lists.isc.or...) (CVE-2017-3145 (https://security-tracker.debian.org/tracker/CVE-2017-3145)), которую можно использовать для инициирования отказа в обслуживании (крах процесса named) при выполнении рекурсивного запроса к DNS-серверу, подконтрольному злоумышленнику. Проблема проявляется только при работе BIND в качестве резолвера с поддержкой DNSSEC (в качестве обходного пути защиты можно отключить DNSSEC).


Кроме того,  в очередном обновлении ISC DHCP также устранена у уязвимость (https://kb.isc.org/article/AA-01541) (CVE-2017-3144 (https://security-tracker.debian.org/tracker/CVE-2017-3144)), которую можно использовать для инициирования отказа в обслуживании (исчерпание  доступных сокетов) через наводнение специально оформленными соединениями к OMAPI, которые остаются незакрытыми. В качестве обходного пути защиты можно ограничить доступ к сетевому порту OMAPI.


Разработчики из ISC также опубликовали (https://www.isc.org/blogs/meltdown/) отчёт с результатами тестирования влияния патчей  для устранения уязвимости  Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856) в ядре Linux (патчи KPTI) на производительность DNS-сервера с BIND 9. Для тестирования использовался сервер Dell R430  с 12-ядерным CPU Xeon E5-2680 v3 и 10-гигабитным Ethernet Intel X710, на который был установлен дистрибутив  Fedora 27 с ядром Linux 4.14.11-300.fc27.x86_64. Расхождения в производительности с защитой от
Meltdown и без активации патча оцениваются как несущественные.


URL: https://www.mail-archive.com/bind-announce@lists.isc.or...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47924

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +5 +/
Сообщение от Аноним (??) on 17-Янв-18, 13:31 
Да заbейте на потери производительности. Все равно лучше, чем 10 лет назад. А 10 лет назад мы не страдали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 13:56 
Если сервер немного старее пары поколений просадка значительная и нужно покупать АМД без просадок!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +4 +/
Сообщение от Аноним (??) on 17-Янв-18, 13:57 
> Да заbейте на потери производительности.

Ну это как посмотреть, на локалхосте конечно незаметно. А на реальных боевых серверах еще как заментно. Например есть у кого нибудь сферический сервер PGSQL на 2х Зионах E2-233322 на многомного ядер, а тут бац и -25% производительности(по данным pgteam) патчем KPTI сняло...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  –3 +/
Сообщение от Аноним (??) on 17-Янв-18, 15:05 
И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +1 +/
Сообщение от leap42 (ok) on 17-Янв-18, 16:00 
> И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...

nopti же, чай не винда

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +1 +/
Сообщение от Аноним (??) on 17-Янв-18, 23:23 
Надо было назвать "yespwnzormysystemplease" вместо nopti. Чтобы понятнее было.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от Stax (ok) on 19-Янв-18, 20:46 
Да, в винде для того же самого ключ в реестре ставить надо - чай не линукс.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от виндотролль (ok) on 20-Янв-18, 22:46 
ключ небось называется HKLM/Microsoft/Windows/System/System32/Roaming/Local/Data/NT/4.0/e10575f3-c38e-452f-8723-77dd991381d4, имеет тип HEX и для отключения надо сменить 0xFF на 0xFE по смещению 0x39.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

14. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  –2 +/
Сообщение от pavlinux (ok) on 17-Янв-18, 18:56 
>  Но всем по умолчанию...

омномномный анал литег, vmlinuz-4.14 nopti ....

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

6. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +2 +/
Сообщение от Аноним (??) on 17-Янв-18, 14:38 
10 лет назад мы не страдали, имея софт 10 летней давности.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от Andrey Mitrofanov on 17-Янв-18, 14:46 
> 10 лет назад мы не страдали, имея софт 10 летней давности.

А без Meltdown-а-то как хорошо-то было-то!
   Pentium DIV bug просвистел, пронесло-пронёсся.  Не задержался.
https://duckduckgo.com/?q=ignorance+is&t=ffab&iax=images&ia=...
https://www.fsfla.org/~lxoliva/fsfla/singular.en.pdf

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от bOOster (ok) on 19-Янв-18, 08:51 
Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты, обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не привязаны.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  –1 +/
Сообщение от bOOster (ok) on 19-Янв-18, 08:55 
> Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные
> алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо
> изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл
> и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных
> математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты,
> обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не
> привязаны.

Обратите внимание - на очередной бред фильтров, и их настройщиков - эти слова являются неприемлимыми!! Первое ладно, а второе уже просто диктатура какая-то. Обычное слово п\о\делка тоже под цензурой. Прямое нарушение свободы слова. Просто пи\c\дец, маразм крепчает.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

9. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от iCat (ok) on 17-Янв-18, 15:13 
>...10 лет назад мы не страдали.

10 лет назад нагрузочи на DNS были в разы ниже...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от bOOster (ok) on 19-Янв-18, 11:19 
На ОДИН СЕРВЕР все было приблизительно также.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

4. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +8 +/
Сообщение от умник on 17-Янв-18, 13:58 
> через наводнение специально оформленными соединениями

чтобы понять эту фразу, её надо обратно на английский перевести

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +10 +/
Сообщение от A.Stahl (ok) on 17-Янв-18, 14:03 
Сначала с неба посыпалась саранча, потом жабы а после и вовсе специально оформленные соединения. Прогневили админы Верховный Маршрутизатор...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 16:15 
Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем без PTI.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от Аноним (??) on 17-Янв-18, 16:17 
Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем c PTI.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI..."  +/
Сообщение от Andrey Mitrofanov on 17-Янв-18, 16:36 
> Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без
> PTI (голубой #1) латентность даже больше, чем c PTI.

Да, он так и пишет:

" The first pair of runs (the first done with KPTI, the second without) gave a surprising result – the latency at high query rates was about 8% lower with KPTI than without, when it was expected to be higher! "

Но оно на то и _исследование_, чтобы копать глубже.  Исследователь сделал #2, где с PTI медленнее, как и положено, чем без PTI. Нужный результат достигнут, нужные выводы сделаны:

" My conclusion therefore is that some other unidentified variable is responsible for the variability shown, [...]  that caused by the Meltdown mitigation patch (KPTI) which in turn appears to be relatively insignificant. "

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру