ОбновлСниС DNS-сСрвСра BIND c устранСниСм уязвимости Π² Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ DNS-over-HTTPS

ΠžΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Ρ‹ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ обновлСния ΡΡ‚Π°Π±ΠΈΠ»ΡŒΠ½Ρ‹Ρ… Π²Π΅Ρ‚ΠΎΠΊ DNS-сСрвСра BIND 9.16.28 ΠΈ 9.18.3, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π½ΠΎΠ²Ρ‹ΠΉ выпуск ΡΠΊΡΠΏΠ΅Ρ€ΠΈΠΌΠ΅Π½Ρ‚Π°Π»ΡŒΠ½ΠΎΠΉ Π²Π΅Ρ‚ΠΊΠΈ 9.19.1. Π’ вСрсиях 9.18.3 ΠΈ 9.19.1 устранСна ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2022-1183) Π² Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΠ° DNS-over-HTTPS, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΠΎΠ³ΠΎ начиная с Π²Π΅Ρ‚ΠΊΠΈ 9.18. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ ΠΏΡ€ΠΈΠ²ΠΎΠ΄ΠΈΡ‚ ΠΊ Π°Π²Π°Ρ€ΠΈΠΉΠ½ΠΎΠΌΡƒ Π·Π°Π²Π΅Ρ€ΡˆΠ΅Π½ΠΈΡŽ процСсса named Π² случаС, Ссли TLS-соСдинСниС ΠΊ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΡƒ Π½Π° Π±Π°Π·Π΅ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° HTTP Π±ΡƒΠ΄Π΅Ρ‚ досрочно ΠΎΠ±ΠΎΡ€Π²Π°Π½ΠΎ. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ сСрвСры, ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°ΡŽΡ‰ΠΈΠ΅ запросы DNS over HTTPS (DoH). Π‘Π΅Ρ€Π²Π΅Ρ€Ρ‹, ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°ΡŽΡ‰ΠΈΠ΅ запросы ΠΏΠΎ DNS over TLS (DoT) ΠΈ Π½Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠ΅ DoH, ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅ Π½Π΅ ΠΏΠΎΠ΄Π²Π΅Ρ€ΠΆΠ΅Π½Ρ‹.

Π’ выпускС 9.18.3 Ρ‚Π°ΠΊΠΆΠ΅ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ нСсколько Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Ρ… ΡƒΠ»ΡƒΡ‡ΡˆΠ΅Π½ΠΈΠΉ. Π”ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π²Ρ‚ΠΎΡ€ΠΎΠΉ вСрсии ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³Π° Π·ΠΎΠ½ («Catalog Zones»), ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½ΠΎΠΉ Π² пятом Ρ‡Π΅Ρ€Π½ΠΎΠ²ΠΈΠΊΠ΅ спСцификации IETF. ΠšΠ°Ρ‚Π°Π»ΠΎΠ³ Π·ΠΎΠ½ ΠΏΡ€Π΅Π΄Π»Π°Π³Π°Π΅Ρ‚ Π½ΠΎΠ²Ρ‹ΠΉ ΠΌΠ΅Ρ‚ΠΎΠ΄ поддСрТания Π²Ρ‚ΠΎΡ€ΠΈΡ‡Π½Ρ‹Ρ… DNS-сСрвСров, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ вмСсто опрСдСлСния Π½Π° Π²Ρ‚ΠΎΡ€ΠΈΡ‡Π½ΠΎΠΌ сСрвСрС ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… записСй для ΠΊΠ°ΠΆΠ΄ΠΎΠΉ Π²Ρ‚ΠΎΡ€ΠΈΡ‡Π½ΠΎΠΉ Π·ΠΎΠ½Ρ‹, ΠΌΠ΅ΠΆΠ΄Ρƒ ΠΏΠ΅Ρ€Π²ΠΈΡ‡Π½Ρ‹ΠΌ ΠΈ Π²Ρ‚ΠΎΡ€ΠΈΡ‡Π½Ρ‹ΠΌ сСрвСрами организуСтся ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π° ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½ΠΎΠ³ΠΎ Π½Π°Π±ΠΎΡ€Π° Π²Ρ‚ΠΎΡ€ΠΈΡ‡Π½Ρ‹Ρ… Π·ΠΎΠ½. Π’.Π΅. настроив трансфСр ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³Π° ΠΏΠΎ Π°Π½Π°Π»ΠΎΠ³ΠΈΠΈ с ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π΅ΠΉ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… Π·ΠΎΠ½, Π·Π°Π²ΠΎΠ΄ΠΈΠΌΡ‹Π΅ Π½Π° ΠΏΠ΅Ρ€Π²ΠΈΡ‡Π½ΠΎΠΌ сСрвСрС Π·ΠΎΠ½Ρ‹, ΠΏΠΎΠΌΠ΅Ρ‡Π΅Π½Π½Ρ‹Π΅ ΠΊΠ°ΠΊ входящиС Π² ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³, Π±ΡƒΠ΄ΡƒΡ‚ автоматичСски ΡΠΎΠ·Π΄Π°Π²Π°Ρ‚ΡŒΡΡ Π½Π° Π²Ρ‚ΠΎΡ€ΠΈΡ‡Π½ΠΎΠΌ сСрвСрС Π±Π΅Π· нСобходимости ΠΏΡ€Π°Π²ΠΊΠΈ Ρ„Π°ΠΉΠ»ΠΎΠ² ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ.

Π’ Π½ΠΎΠ²ΠΎΠΉ вСрсии Ρ‚Π°ΠΊΠΆΠ΅ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½Π½Ρ‹Ρ… ΠΊΠΎΠ΄ΠΎΠ² ошибок «Stale Answer» ΠΈ «Stale NXDOMAIN Answer», Π²Ρ‹Π΄Π°Π²Π°Π΅ΠΌΡ‹Ρ…, ΠΊΠΎΠ³Π΄Π° ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠΈΠΉ ΠΎΡ‚Π²Π΅Ρ‚ Π²ΠΎΠ·Π²Ρ€Π°Ρ‰Ρ‘Π½ ΠΈΠ· кэша. Π’ named ΠΈ dig встроСна Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π²Π΅Ρ€ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π²Π½Π΅ΡˆΠ½ΠΈΡ… TLS-сСртификатов, Ρ‡Ρ‚ΠΎ ΠΌΠΎΠΆΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ строгой ΠΈΠ»ΠΈ совмСстной Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π½Π° Π±Π°Π·Π΅ TLS (RFC 9103).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru