Не влияет ли ISC BIND на ошибку OpenSSL Heartbleed?
В OpenSSL есть ошибка Heartbleed. Я собрал ISC BIND 9.9.5 с поддержкой OpenSSL 1.0.1e. Должен ли я пересобрать BIND с OpenSSL 1.0.1g?
2 ответа
Нет, мне не кажется, что BIND уязвима для подвига сердца. Для использования этой уязвимости требуется запрос функции пульса TLS, а для этого необходимо наличие соединения TLS или соединения, которое можно обновить до TLS. BIND не предлагает никакой подобной функциональности, о которой я знаю. Простое связывание с уязвимыми библиотеками само по себе не делает службу уязвимой для атаки (см. OpenSSH, который связан с библиотеками, но, очевидно, использует их для функций генерации ключей, а не для частей протокола с поддержкой сети).).
Я думаю, что правильное понимание уязвимостей и их влияния важно для определения приоритетов исправлений. Нарушения всех видов связаны с нестабильностью и риском, и вы не хотите делать что-то в середине дня, если бы они могли спокойно ждать до окна патча следующего субботнего вечера.
Определенно было бы неплохо обновить OpenSSL и связать все инструменты, созданные на его основе, но я не думаю, что вам нужно чувствовать себя уязвимым, пока вы этого не сделаете, в этом конкретном случае. Честно говоря, лучше использовать ваше время, если это вообще возможно, перейти от программного обеспечения, созданного вручную.
Bind не может быть уязвим для такого рода атак, поскольку он использует OpenSSL для других целей, кроме TLS.