Уязвимость в BIND и NTPD

08.01.2009 21:53

Организация ISC выпустила обновление DNS сервера BIND (9.4.3-P1, 9.5.1-P1, 9.6.0-P1, 9.3.6-P1) и сервера для синхронизации точного времени NTP 4.2.4p6. Внеплановое обновление вызвано обнаружением уязвимости в OpenSSL, позволяющей принять сформированную злоумышленником подпись как корректную, при проверке подписи ключей DSA и ECDSA, используемые совместно с SSL/TLS. Данная уязвимость может быть использована для труднореализуемой подстановки злоумышленником (спуфинга) ответов для DNSKEY или NTP запросов, при использовании алгоритмов DSA или NSEC3DSA.

В качестве временного решения проблемы, можно отключить поддержку DNSSEC или добавить в BIND 9.3, 9.4, 9.5 "disable-algorithms . { DSA; };", а для BIND 9.6 - "disable-algorithms . { DSA; NSEC3DSA; };".