28 Dub
2020
28 Dub
'20
9:40
Please communicate in English so other participants can benefit or reply as well.
CVE-2019-19331 and its trigger is described here:
https://gitlab.labs.nic.cz/knot/knot-resolver/issues/518
https://nvd.nist.gov/vuln/detail/CVE-2019-19331
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-19331
We do not know enough about "SERVFAIL loop" you mentioned in the previous e-mail
so I not have more information about its trigger.
If it happens again on version 5.1.0 enable verbose debugging as described here
https://knot-resolver.readthedocs.io/en/latest/config-logging-monitoring.ht… (possibly
using
https://knot-resolver.readthedocs.io/en/latest/daemon-scripting.html#contro…) and
send logs to this list.
To counter any potential problems similar to this configure
https://knot-resolver.readthedocs.io/en/latest/modules-watchdog.html, it will monitor and
restart instances independently.
I hope it helps.
Petr Špaček @ CZ.NIC
On 28. 04. 20 8:49, Zdeněk Janiš wrote:
Dalším zkoumáním se ukázalo, že ono to
"okamžité" je v podstatě postupné (máme 4 instance na jednom stroji), ale je tam
takový provoz, že to uniklo pozornosti. Při omezení provozu se ukázalo, že přestávají
odpovídat jednotlivé instance. Stačilo restart:
systemctl restart kresd(a)[1234].service
a opět vše funkční. Upgrade určitě udělám. Jen by mě zajímalo co je spouštěčem? Protože
se tato chyba vyskytla náhle po několika měsíčním bezproblémovém provozu.
Děkuji.
Dne 28. 04. 20 v 8:08 Petr Špaček napsal(a):
> Watchdog pravděpodobně znamená, že jde o CVE-2019-19331 opravené ve verzi 4.3.0.
>
> Problém s "okamžitým" SERVFAILováním zatím neznáme - až aktualizujete na
poslední verzi (nejlépe 5.1.0 která vyjde pravděpodobně zítra), tak můžeme sbírat
informace a uvidíme, co se objeví (nebo taky neobjeví).