главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Выпуск тестовых сборок Windows 10 приостановлен
  • Только вчера в системе интернет-адресации была устранена фундаментальная ошибка, благодаря которой злоумышленники могли беспрепятственно подделывать адреса любых веб-сайтов. Эта ошибка затрагивала общую реализацию системы доменных имен и для ее решения необходима была скоординированная работа всех без исключения разработчиков серверного программного обеспечения.

    Со вчерашнего дня любой администратор Winodows-, Linux-, Unix- и Mac-серверов может заметить, что для любой из серверных систем доступна новая версия используемого DNS-сервера (например Bind). Обновления для своих продуктов выпустили и крупные изготовители сетевого оборудования, например Cisco.

    На практике такая ошибка позволяла подменить определенные записи на DNS-серерверах так, что при желании войти на любой сайт, например www.winblog.ru, пользователь попадал на заданный злоумышленником сайт, эта же ошибка приводила к утечкам электронной почты. Причем из-за того, что ошибка таилась исключительно в серверной части, конечный пользователь никак не мог защититься от нее.
    Принцип действия был таков: задача системы доменных имен (DNS) заключается в преобразовании буквенных адресов в их числовые аналоги (ip-адреса) и наоборот. Во всей глобальной сети существуют порядка 200000 средних и крупных DNS-серверов, обслуживающих миллионы пользователей, но вся DNS-архитектура организована последовательно - каждый DNS-сервер имеет свой главный головной сервер, с которого получает необходимые для работы данные о доменах и ip-адресах. Как раз в этом механизме и содержалась ошибка. Механизм передачи доменной информации и ее последующая идентификация представляют собой самое уязвимое место всей системы DNS: сервер нижнего уровня не может определить, являются ли выданные на его запросы DNS-инструкции подлинными с головного сервера или же поддельными от какого-либо третьего звена (злоумышленника). Несмотря на то, что идентификация DNS-пакетов использует случайные номера, этих номеров всего 65 000. Что стоит отметить, что каждый сервер обладает определенной последовательность создания таких "случайных" номеров, поэтому подделать такой номер не представляет никакой трудности.

    Напомним, что такая уязвимость была обнаружена еще в прошлом году одним из специалистов компании IO Active, но из-за серьезности ситуации пользователи не были посвящены полностью, им было сказано лишь о том, что DNS таит в себе некоторую возможную серьезную уязвимость…

    И вплоть до вчерашнего дня ни один из нас не мог гарантировать конфиденциальность отправляемой в сеть информации, которая в любой момент могла попасть в распоряжение хакера.

    В течение прошлого года об ошибке узнала команда US CERT (U.S. Computer Emergency Readiness Team) и основные компании-производители серверного программного обеспечения. Все без исключения договорились держать новость в секрете, и лишь в марте этого года в штаб-квартире Microsoft произошла встреча 16 ведущих мировых произодителей ПО и сетевого оборудования, в результате которой был разработан план действий по ликвидации ошибки и утвержден график выпуска патчей к серверному ПО.

    Во вторник Microsoft вместе с традиционным набором исправлений, обновила систему управления доменными именами в серверных версиях Windows. Обновления получили также пользователи оборудования Cisco, а на сайте Internet Systems Consortium стала доступна новая версия системы Bind для крупнейших Linux-систем: Red Hat, Suse, Mandriva, Ubuntu и других.

    Как говорят официальные источники, случаев использования данной уязвимости не было, но ведь ее невозможно было проследить.

    Старший программный менеджер Internet Systems Consortium Джоа Дамас сообщзил, что сейчас механизм генерации таких "случайных номеров" был пересмотрен и ограничение в 65000 снято, также добавлен новый механизм защиты, благодаря которому сервер стирает некорректные номера из базы данных.


    Оцените статью:
    Голосов 0

    Материалы по теме:
  • Настройка расщепления DNS в интегрированных с Active Directory зонах
  • Adobe в очередной раз поборола массу уязвимостей
  • Google Chrome санкционирует удаленное использование компьютера
  • Активация роли сервера DNS в базовой установке Windows Server 2008
  • Корневые DNS-серверы вновь подверглись атаке
    1. #1

      Что за бред?
      Какой кулнахер это написал? Зачем людей пугать, а?



    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+