Sörös Zoltán <[email protected]> írta (2015. február 26. 9:50):
> Üdvözlet!
> Forrásból fordított bind 9.10.0 futott a szerverünkön, az szolgáltatja
> kifelé a saját domainünk adatait és befelé a DNS feloldást.
>
> Ma reggel kétszer is leállt, a syslogba az alábbiakat írta be:
>
> Feb 26 08:44:03 master named[1375]: 26-Feb-2015 08:44:03.960 general:
> critical: name.c:534: REQUIRE((((name) != ((void *)0)) && (((const
> isc__magic_t *)(name))->magic == ((('D') << 24 | ('N') << 16 | ('S') << 8 |
> ('n')))))) failed, back trace
[...]
> Csinált core dumpot is a /var/named könyvtárba.
>
> Ebből én arra tippelek, hogy kapott egy hibás queryt, és azért állt le.

Hibás query-re sem kellene elszállnia, szóval ezt hívhatjuk bug-nak,
lehet simán ez is:
https://kb.isc.org/article/AA-01161

> Sürgősen feltettem a legújabb 9.10.2-es verziót, de kérdéseim vannak, és a
> google most nem segített megválaszolni őket...
>
> 1) Jól értelmezem a bejegyzéseket, és azért állt le, amit tippelek?
> 2) Meg lehet így utólag állapítani, hogy a hibás kérés belülről jött, vagy
> kívülről, azaz támadás érte a namedünket?

Esetleg a coredump-ból kiderül, de igazából nem mindegy?

> 3) Tapasztalt-e hasonlót más is, van-e megoldás?

A CVE-szám megléte azt valószínűsíti, hogy igen. A bind hírhedten
lyukas. Miért nem a disztribúcióban adott bind-ot használod, amit jó
eséllyel frissítenek időben?
_________________________________________________
linux lista      -      [email protected]
http://mlf.linux.rulez.org/mailman/listinfo/linux

válasz