Názory k článku
Zranitelnosti v BIND 9 umožňují DoS, aktualizujte

Ta prvni zranitelnost se tyka bind s povolenymi client update. Ostatni zase bind se zapnutym stale answers, ktery nikde neni default a od doby, co byl pridan, neni fakticky bez (nejen) bezpecnostnich chyb, procez jej na zvnejsku dostupnem dns nikdo pricetny zapnuty nema.

Okurková sezóna dorazila s HackerNews zjevně i na Root.cz... absolutně netuším, proč zrovna tohle vydání probublalo do "novin", ale zrovna tady není nic zajímavého. Přesně jak říká předřečník, pokud nepoužíváte výše zmíněné vlastnosti, tak je to normální aktualizace.

Bezpečnostní vydání BIND 9 jsou jednou za čtvrt roku, klasické vydání jsou měsíčně. Co je nakonec mnohem horší jsou ty náhodné verze software ve "stabilních" distribucích, které jsou tak různě záplatované - například verzi 9.16.1 v Ubuntu Focal bych doporučoval se obloukem vyhnout. Verze 9.18.1 v Ubuntu Jammy taky poměrně rychle zastará. Naštěstí je pro BIND 9 v Debianu výjimka (stejně jako pro PHP), takže od Debian Stable vždycky dostanete poslední patch verzi v daném release (Debian Bullseye má 9.16.37, Debian Bookworm bude mít poslední 9.18, aktuálně 9.18.11).

Tady je seznam všech CVE v BIND 9: https://kb.isc.org/docs/aa-00913

Ta CVSS metrika je taková pitomá v tom, že pro výpočet skóre musíte předpokládát "zranitelnou konfiguraci", a je úplně jedno jestli danou vlastnost používá jeden člověk na světě nebo všichni.

To, že je v nějaké distribuci určitá, formálně velmi stará, verze, neznamená automaticky, že tam chybějí opravy z pozdějších verzí.

Automaticky to neznamená, ale v tomhle případě to prostě vím, vzhledem k tomu, co dělám za $dayjob. Ne všechny opravy musí být nutně bezpečnostní opravy, ale i tak jsou potřeba na to, aby ten software fungoval solidně.

A opačně – to, že jsou tam aplikované patche z pozdějších verzí, neznamená, že je to skutečně opravené.