[technique] Faille potentielle bind9

Philippe Pepiot phil at philpep.org
Ven 18 Nov 10:04:40 CET 2011


On 11/17/2011 06:04 PM, Solarus wrote:
> Le 17/11/2011 16:16, Laurent GUERBY a écrit :
>> Bonjour,
>>
>> http://it.slashdot.org/story/11/11/17/1429259/potential-0-day-vulnerability-for-bind-9 
>>
>> http://isc.sans.edu/diary.html?storyid=12049&rss
>> http://www.isc.org/software/bind/advisories/cve-2011-tbd
>>
>> J'ai mis a jour bind9 sur h3 et gw a l'instant :
>>
>> http://www.debian.org/security/2011/dsa-2347
>>
>> Sincerement,
>>
>> Laurent
>>
> Le dernier core dump Juniper, nous rappelle l'importance de varier les 
> systèmes réseau de manière générale.
> Pour un serveur DNS on peut se pencher sur Unbound, afin de remplacer 
> ou compléter un serveur Bind.
>
> La résilience des réseaux n'en sera que plus grande.
>
> Cordialement.
> Solarus.

Deux alternatives intéressantes à bind:

Pour les serveurs récursifs, unbound est très bien (et je crois qu'il y 
en a déjà un @tetaneutral)
Pour les serveur faisant autorité, nsd (il lit les même fichiers de zone 
que bind), il est entré dans le base system d'OpenBSD début 2010 ce qui 
est généralement une garantie en terme de qualité de code.

Il est surtout conseillé de ne pas mixer les deux fonctions 
(recursif/autoritaire) sur le même soft.

-- 
Philippe Pepiot




Plus d'informations sur la liste de diffusion technique