周一在網際網路新聞群組的貼文中,網際網路系統協會(Internet Systems Consortium;ISC)的Paul Vixie坦承,Berkeley Internet Name Domain (BIND) DNS Server最近釋出的-P1對部分使用者而言可能不穩定。「BIND DNS Server」用於網際網路上絕大多數的網域名稱伺服器。
Vixie指出,ISC一得知有此問題,就立刻著手製作修補程式。Vixie是Dan Kaminsky揭露DNS安全漏洞之前,先行通知的研究員之一。
不過,他說:「在開發周期中,我們發現高流量遞迴伺服器(high-traffic recursive servers)的潛在效能問題;所謂高流量,意指查詢量大於每秒一萬筆。基於有限的時間框架與相關的風險,我們選擇儘快完成修補程式,並加快下一次的發布時程,以化解高量伺服器效能的顧慮。」
Vixie明白,推出DNS修補程式,比憂慮伺服器緩慢的問題更重要。他說,ISC將在本周末釋出9.3.5-P2版、9.4.2-P2版和9.5.0-P2版。
另外,Securosis.com的資安研究員Rich Mogull也呼應,釋出一個DNS修補程式,總比沒有好。
上周在部落格文章裡,Mogull評論蘋果至今尚未釋出相關的修補程式。他在文中寫道:「蘋果用的是很普及的 Internet Systems Consortium BIND DNS伺服器,這是最先獲修補的工具之一,但蘋果尚未把修補漏洞後的版本納入Mac OS X Server裡,儘管他們很早就接獲通知,既知道安全弱點的詳細資訊,也得知經過協調的修補程式發布日期。」
Mogull接受CNET News電子郵件訪問時表示:「蘋果這次可能陷入進退兩難的窘境,但他們卻選擇最糟的選項--不吭一聲。」
他還抱怨,眾人都不知,BIND的不穩定性對Mac OS X Server影響有多大。
他說:「如果不穩定,我的建議是,先釋出一個初步的修補程式,讓把它當遞迴伺服器來用的使用者可先套用。如果已有活躍的駭客範本程式(exploit),完全不修補漏洞不是可行的辦法,可能讓客戶身陷高度的危險。讓客戶自行衡量風險決定。」
Mogull建議,精通編碼者,仍可把他們自己的9.5.0-P1版本安裝到Mac OS X Server,或是「重新設定那些伺服器,把DNS request的訊息轉給替代的平台,例如用Linux或Unix的BIND,或微軟的伺服器,直到蘋果發布更新程式為止」。
Mogull在部落格中提到,目前發生在網路上的攻擊,只影響網路伺服器上的DNS快取,所以桌上型MAC OS X使用者暫時還不需擔心。
沒有留言:
張貼留言