The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В ISC BIND и DHCP исправлены уязвимости. Оценка влияния KPTI на производительность BIND

17.01.2018 13:16

Опубликованы корректирующие выпуски DNS-сервера BIND 9.11.2-P1, 9.10.6-P1 и 9.9.11-P1 c устранением уязвимости (CVE-2017-3145), которую можно использовать для инициирования отказа в обслуживании (крах процесса named) при выполнении рекурсивного запроса к DNS-серверу, подконтрольному злоумышленнику. Проблема проявляется только при работе BIND в качестве резолвера с поддержкой DNSSEC (в качестве обходного пути защиты можно отключить DNSSEC).

Кроме того, в очередном обновлении ISC DHCP также устранена уязвимость (CVE-2017-3144), которую можно использовать для инициирования отказа в обслуживании (исчерпание доступных сокетов) через установку большого числа специально оформленных соединений к OMAPI, которые остаются незакрытыми. В качестве обходного пути защиты можно ограничить доступ к сетевому порту OMAPI.

Разработчики из ISC также опубликовали отчёт с результатами тестирования влияния патчей для устранения уязвимости Meltdown в ядре Linux (патчи KPTI) на производительность DNS-сервера с BIND 9. Для тестирования использовался сервер Dell R430 с 12-ядерным CPU Xeon E5-2680 v3 и 10-гигабитным Ethernet Intel X710, на который был установлен дистрибутив Fedora 27 с ядром Linux 4.14.11-300.fc27.x86_64. Расхождения в производительности с защитой от Meltdown и без активации патча оцениваются как несущественные.



  1. Главная ссылка к новости (https://www.mail-archive.com/b...)
  2. OpenNews: Консорциум ISC представил DHCP-сервер Kea 1.3
  3. OpenNews: Сайт консорциума ISC, развивающего BIND и DHCP, подвергся взлому
  4. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  5. OpenNews: Обновление DNS-сервера BIND 9.9.9-P8, 9.10.4-P8 и 9.11.0-P5 с устранением уязвимостей
  6. OpenNews: Выпуск BIND 9.11.1-P2, 9.10.5-P2 и 9.9.10-P2 с устранением уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47924-dns
Ключевые слова: dns, bind, dhcp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:31, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Да заbейте на потери производительности. Все равно лучше, чем 10 лет назад. А 10 лет назад мы не страдали.
     
     
  • 2.2, Аноним (-), 13:56, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если сервер немного старее пары поколений просадка значительная и нужно покупать АМД без просадок!
     
  • 2.3, Аноним (-), 13:57, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Да заbейте на потери производительности.

    Ну это как посмотреть, на локалхосте конечно незаметно. А на реальных боевых серверах еще как заментно. Например есть у кого нибудь сферический сервер PGSQL на 2х Зионах E2-233322 на многомного ядер, а тут бац и -25% производительности(по данным pgteam) патчем KPTI сняло...

     
     
  • 3.8, Аноним (-), 15:05, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...
     
     
  • 4.10, leap42 (ok), 16:00, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И печаль в том что им этот патч нафиг не нужен... Но всем по умолчанию...

    nopti же, чай не винда

     
     
  • 5.15, Аноним (-), 23:23, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надо было назвать "yespwnzormysystemplease" вместо nopti. Чтобы понятнее было.
     
  • 5.19, Stax (ok), 20:46, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, в винде для того же самого ключ в реестре ставить надо - чай не линукс.
     
     
  • 6.20, виндотролль (ok), 22:46, 20/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ключ небось называется HKLM/Microsoft/Windows/System/System32/Roaming/Local/Data/NT/4.0/e10575f3-c38e-452f-8723-77dd991381d4, имеет тип HEX и для отключения надо сменить 0xFF на 0xFE по смещению 0x39.
     
  • 4.14, pavlinux (ok), 18:56, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  Но всем по умолчанию...

    омномномный анал литег, vmlinuz-4.14 nopti ....

     
  • 2.6, Аноним (-), 14:38, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    10 лет назад мы не страдали, имея софт 10 летней давности.
     
     
  • 3.7, Andrey Mitrofanov (?), 14:46, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 10 лет назад мы не страдали, имея софт 10 летней давности.

    А без Meltdown-а-то как хорошо-то было-то!
       Pentium DIV bug просвистел, пронесло-пронёсся.  Не задержался.
    https://duckduckgo.com/?q=ignorance+is&t=ffab&iax=images&ia=images
    https://www.fsfla.org/~lxoliva/fsfla/singular.en.pdf

     
  • 3.16, bOOster (ok), 08:51, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты, обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не привязаны.
     
     
  • 4.17, bOOster (ok), 08:55, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Школьникам: А че, в софте что-то концептуально поменялось чтоли? Хотя да, высокопроизводительные
    > алгоритмы, математика, оптимизация не меняются, а вот софт безграмотные "школьники" прямо
    > изг\О\вняли.. Хотя чего можно ожидать, если в универах преподают C#, Перл
    > и всякое такое п\о\делие, привязывающее "программиста" к определенной платформе, без концептуальных
    > математических/алгоритмических знаний. Хотя понятно, как и надежные авто, грамотные программисты,
    > обладающие концептуальными знаниями, корпорациям не нужны, они ведь к платформе не
    > привязаны.

    Обратите внимание - на очередной бред фильтров, и их настройщиков - эти слова являются неприемлимыми!! Первое ладно, а второе уже просто диктатура какая-то. Обычное слово п\о\делка тоже под цензурой. Прямое нарушение свободы слова. Просто пи\c\дец, маразм крепчает.

     
  • 2.9, iCat (ok), 15:13, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >...10 лет назад мы не страдали.

    10 лет назад нагрузочи на DNS были в разы ниже...

     
     
  • 3.18, bOOster (ok), 11:19, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На ОДИН СЕРВЕР все было приблизительно также.
     

  • 1.4, умник (?), 13:58, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > через наводнение специально оформленными соединениями

    чтобы понять эту фразу, её надо обратно на английский перевести

     
     
  • 2.5, A.Stahl (ok), 14:03, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Сначала с неба посыпалась саранча, потом жабы а после и вовсе специально оформленные соединения. Прогневили админы Верховный Маршрутизатор...
     

  • 1.11, Аноним (-), 16:15, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем без PTI.
     
     
  • 2.12, Аноним (-), 16:17, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без PTI (голубой #1) латентность даже больше, чем c PTI.
     
     
  • 3.13, Andrey Mitrofanov (?), 16:36, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Поправил: Странным становится график, начиная с 300 000 запросов. Получается, что без
    > PTI (голубой #1) латентность даже больше, чем c PTI.

    Да, он так и пишет:

    " The first pair of runs (the first done with KPTI, the second without) gave a surprising result – the latency at high query rates was about 8% lower with KPTI than without, when it was expected to be higher! "

    Но оно на то и _исследование_, чтобы копать глубже.  Исследователь сделал #2, где с PTI медленнее, как и положено, чем без PTI. Нужный результат достигнут, нужные выводы сделаны:

    " My conclusion therefore is that some other unidentified variable is responsible for the variability shown, [...]  that caused by the Meltdown mitigation patch (KPTI) which in turn appears to be relatively insignificant. "

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру