28го июля 2015г организацией Internet Systems Consortium было опубликовано сообщение о критической уязвимости DNS сервера BIND (по умолчанию он включен во все образы -ispmgr5 FirstVDS) версий с 9.1.0 по 9.9.7-P1 и 9.10.2-P2.
Уязвимость позволяет удаленному пользователю использование ошибки в обработке запросов типа TKEY и реализацию DoS атаки (отказ в обслуживании), что приводит к остановке DNS сервера BIND.
Внимание: уязвимость проявляется на всех ОС, использующих указанные версии BIND. Если BIND не используется, можно игнорировать это уведомление. Пользователи ОС Windows Server не затронуты.
Исправление уязвимости:
Уязвимость может быть устранена только обновлением ПО указанных версий BIND (9.1.0 по 9.9.7-P1 и 9.10.2-P). Все крупные разработчики Linux систем уже включили исправление в свои репозитории.
Для самостоятельного обновления, подключитесь к виртуальному серверу посредством терминала SSH (например putty) и авторизуйтесь. Предполагается, что никакое другое системное ПО или зависимости не требуют обновлений.
Операционная система CentOS:
Для CentOS версии 6.6 необходимо подключить репозиторий Continuous Release (CR). В противном случае патч установлен не будет. Начиная с CentOS версии 6.7 патч устанавливается из основного репозитория.
# yum install centos-release-cr
# yum-config-manager --enable cr
Обновляем BIND:
# yum update bind
Если доступ к репозиторию более не требуется, его можно отключить:
# yum-config-manager --disable cr
Операционные системы Debian и Ubuntu:
Для обновления ПО необходимо выполнить:
# apt-get install bind9
Операционная система FreeBSD версий 8.х и 9.х:
(дополнительная информация на англ. языке)
ВАЖНО: ввиду особенностей ПО, обновления рекомендуется производить только на свежеустановленной ОС. Автоматически обновлять систему с большим количеством пользовательских настроек _крайне_ не рекомендуется.
Обновление может быть выполнено при помощи утилиты freebsd-update:
# freebsd-update fetch
# freebsd-update install
Службу named необходимо перезапустить после обновления.
В случае, если серверное ПО устарело и выполнить автоматическое обновление не получается, вам необходимо вручную перекомпилировать BIND до последней версии.
Текущую версию BIND можно узнать командой:
# named -v
Все действия по обновлению необходимо выполнять либо с правами супер-пользователя (root), либо через команду sudo (кроме FreeBSD).