Re: Frage zu DSA 1605-1
Hallo Peter,
* On Thu, Jul 10, 2008 at 02:19:57PM +0000 Peter Blancke wrote:
> Aber wenn bind8 auf einem virtuellen Server laeuft, kommt da als
> Antwort beim Start von bin9:
>
> ,----
> | Starting domain name service...:
> | bindnamed: capset failed: Operation not permitted
> | named: capset failed: Operation not permitted
> `----
Das Problem ist bekannt und kann durch ein Neu-Kompilieren gelöst
werden:
http://linux-vserver.org/Problematic_Programs#Bind9_on_Debian_GNU.2FLinux_Woody_.283.0.29.2C_Sarge_.283.1.29.2C_Etch_.284.0.29
(vielleicht weißt du das ja schon, aber der Vollständigkeit halber)
Übrigens habe ich einen auf AMD64 basierenden VServer mit Etch. Es
scheint, dass dort bind sehr wohl funktioniert; diese Aussage habe ich
auch schon mehrfach in Web gesehen. Ob es an unterschiedlichen
Compile-Optionen liegt oder an einem Unterschied von AMD64-Vserver kann
ich allerdings nicht sagen.
> Somit ergibt sich die Folgefrage: Sind derartige VServer mit dem
> (noch) lauffaehigen Bind 8.4.7-1 (und libbind9-0 in der Version
> 9.3.4-2etch3) als gefaehrdet einzustufen? Bei mir laeuft auf so
> einer Kiste naemlich ein Second-NS fuer eine Handvoll von Domains.
Ich bin hier zwar kein Experte, aber: Wenn ich das DSA (und auch vor
allem das "originale" Posting von Dan Kaminsky (http://www.doxpara.com/)
nicht völlig falsch verstanden habe: Ja.
"I’m pretty proud of what we accomplished here. We got Windows. We
got Cisco IOS. We got Nominum. We got BIND 9, and when we couldn’t
get BIND 8, we got Yahoo, the biggest BIND 8 deployment we knew of,
to publicly commit to abandoning it entirely."
Sprich: Bind 8 ist verwundbar und wird nicht mehr gefixt. Da das Problem
unabhängig vom VServer ist, ist das bind also verwundbar.
Beste Grüße,
Spiro.
--
Spiro R. Trikaliotis http://opencbm.sf.net/
http://www.trikaliotis.net/ http://www.viceteam.org/
Reply to: