[technique] Faille potentielle bind9
Laurent GUERBY
laurent at guerby.net
Mer 30 Nov 10:11:08 CET 2011
On Fri, 2011-11-18 at 10:04 +0100, Philippe Pepiot wrote:
> On 11/17/2011 06:04 PM, Solarus wrote:
> > Le 17/11/2011 16:16, Laurent GUERBY a écrit :
> >> Bonjour,
> >>
> >> http://it.slashdot.org/story/11/11/17/1429259/potential-0-day-vulnerability-for-bind-9
> >>
> >> http://isc.sans.edu/diary.html?storyid=12049&rss
> >> http://www.isc.org/software/bind/advisories/cve-2011-tbd
> >>
> >> J'ai mis a jour bind9 sur h3 et gw a l'instant :
> >>
> >> http://www.debian.org/security/2011/dsa-2347
> >>
> >> Sincerement,
> >>
> >> Laurent
> >>
> > Le dernier core dump Juniper, nous rappelle l'importance de varier les
> > systèmes réseau de manière générale.
> > Pour un serveur DNS on peut se pencher sur Unbound, afin de remplacer
> > ou compléter un serveur Bind.
> >
> > La résilience des réseaux n'en sera que plus grande.
> >
> > Cordialement.
> > Solarus.
>
> Deux alternatives intéressantes à bind:
>
> Pour les serveurs récursifs, unbound est très bien (et je crois qu'il y
> en a déjà un @tetaneutral)
> Pour les serveur faisant autorité, nsd (il lit les même fichiers de zone
> que bind), il est entré dans le base system d'OpenBSD début 2010 ce qui
> est généralement une garantie en terme de qualité de code.
>
> Il est surtout conseillé de ne pas mixer les deux fonctions
> (recursif/autoritaire) sur le même soft.
Bonjour,
Pour avancer sur le sujet DNS je vous encourage a noter
vos suggestions et propositions ici :
http://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/DNS
Sincerement,
Laurent
Plus d'informations sur la liste de diffusion technique