<p dir="ltr">Cyber folks asked if there was any way for the DNS servers to "protect" the vulnerable clients. <br>
The only thing i  could see from the explanation  was disabling or limiting edns0 sizes. That is obviously not a long term option.</p>
<div class="gmail_quote">On Feb 17, 2016 11:39 AM, "Alan Clegg" <<a href="mailto:alan@clegg.com">alan@clegg.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2/17/16, 11:34 AM, "Reindl Harald" <<a href="mailto:bind-users-bounces@lists.isc.org">bind-users-bounces@lists.isc.org</a> on<br>
behalf of <a href="mailto:h.reindl@thelounge.net">h.reindl@thelounge.net</a>> wrote:<br>
<br>
>Am 17.02.2016 um 17:22 schrieb Dominique Jullier:<br>
>> Are they any thoughts around, how to handle yesterday's glibc<br>
>> vulnerability[1][2] from the side bind?<br>
>><br>
>> Since it is a rather painful task in order to update all hosts to a new<br>
>> version of glibc, we were thinking about other possible workarounds<br>
><br>
>Fedora, RHEL and Debian as well as likely all other relevant<br>
>distributions are providing a patched glibc - dunno what is "rather<br>
>painful" to apply a ordinary update like kernel security updates and<br>
>restart all network relevant processes or reboot<br>
<br>
While I agree that the "major distributions" (and even the minor ones) are<br>
getting patches out, I'd like to point out something that Alan Cox posted<br>
over on G+:<br>
<br>
"You can upgrade all your servers but if that little cheapo plastic box on<br>
your network somewhere has a vulnerable post 2008 glibc and ever does DNS<br>
lookups chances are it's the equivalent of a trapdoor into your network."<br>
<br>
<a href="https://plus.google.com/+AlanClegg/posts/R1UkJjHMMB6" rel="noreferrer" target="_blank">https://plus.google.com/+AlanClegg/posts/R1UkJjHMMB6</a><br>
<br>
There does need to be something a bit deeper than "patch your servers"..<br>
<br>
AlanC<br>
><br>
<br>
<br>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>