The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от opennews (??) on 02-Окт-17, 22:00 
Компания Google опубликовала (https://security.googleblog.com/2017/10/behind-masq-yet-more...) результаты аудита кодовой базы пакета Dnsmasq (http://www.thekelleys.org.uk/dnsmasq/doc.html), объединяющего кэширующий DNS-резолвер и сервер DHCP. В итоге было выявлено 7 уязвимостей, из которых 3 могут привести к выполнению кода атакующего при обработке специально оформленных запросов DNS и DHCP. Для всех уязвимостей подготовлены (https://github.com/google/security-research-pocs/tree/master...) работающие прототипы эксплоитов. Разработчикам Dnsmasq переданы (http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=summary) патчи для устранения уязвимостей,  а также реализация (https://github.com/google/security-research-pocs/blob/master...) уровня sandbox-изоляции на базе seccomp-bpf, которая позволит создать дополнительный бастион защиты.


Выявленные уязвимости:


-  CVE-2017-14491 (https://security-tracker.debian.org/tracker/CVE-2017-14491) - переполнение кучи в коде формирования DNS-ответов.  В версиях Dnsmasq 2.76 и 2.77 возможно лишь двухбайтовое переполнение, но в выпусках до 2.76 такого ограничения нет. Отправив в dnsmasq специально оформленные DNS-пакеты, атакующий может добиться выполнения своего кода на сервере.  Компания Red Hat присвоила уязвимости наивысший критический уровень опасности.


Наиболее вероятными мишенями  для совершения атаки могут стать внутренние и публичные сети  с резолвером на основе  Dnsmasq, например, сети Wi-Fi с точками доступа на базе дистрибутивов LEDE и OpenWRT, в которых используется Dnsmasq. При этом вектор атак не ограничивается локальными сетями, по данным (https://www.shodan.io/search?query=dnsmasq) сервиса  Shodan в сети присутствует более миллиона хостов, предоставляющих доступ к резолверу на базе Dnsmasq.


-  CVE-2017-14492 (https://security-tracker.debian.org/tracker/CVE-2017-14492) - переполнение буфера в коде обработки анонсов  маршрутизатора IPv6 (RA, Router Advertisement). Атакующий в локальном сегменте сети может отправить специально оформленный анонс RA к dnsmasq и инициировать выполнение своего кода. Уязвимость проявляется только в конфигурациях с DHCP, в которых активна одна из следующих опций: enable-ra, ra-only, slaac, ra-names, ra-advrouter или ra-stateless;

-  CVE-2017-14493 (https://security-tracker.debian.org/tracker/CVE-2017-14493) - переполнение стека в коде DHCPv6, которое может привести к выполнению кода через отправку в локальной сети специально оформленного запроса DHCPv6;

-  CVE-2017-14494 (https://security-tracker.debian.org/tracker/CVE-2017-14494) - утечка информации из памяти процесса dnsmasq. Атакующий в локальной сети может отправить специальной оформленный пакет DHCPv6, в пакете с ответом на который будет содержаться часть памяти процесса, которая потенциально может содержать конфиденциальные данные;

-  CVE-2017-14495 (https://security-tracker.debian.org/tracker/CVE-2017-14495) - утечка  памяти в коде EDNS0. Атакущий может через отправку серии DNS-запросов вызвать исчерпание доступной процессу памяти. Проблема проявляется только при использовании опций add-mac, add-cpe-id или add-subnet;

-  CVE-2017-14496 (https://security-tracker.debian.org/tracker/CVE-2017-14496) - целочисленное переполнение в коде EDNS0, приводящее к чтению данных из областей вне границ буфера. Через отправку специально оформленных запросов DNS можно вызвать крах процесса
dnsmasq. Проблема проявляется только при использовании опций add-mac, add-cpe-id или add-subnet.


Проблемы устранены в выпуске Dnsmasq 2.78. Обновления уже выпущены для RHEL (https://access.redhat.com/errata/RHSA-2017:2836), Ubuntu (https://usn.ubuntu.com/usn/usn-3430-1/), Fedora (https://bodhi.fedoraproject.org/updates/?releases=F26&type=s...) и FreeBSD (http://www.vuxml.org/freebsd/b77b5646-a778-11e7-ac58-b499bae...). Исправления также вошли в состав октябрьского обновления (https://source.android.com/security/bulletin/2017-10-01) платформы Android. Обновления пока недоступны для Debian (https://security-tracker.debian.org/tracker/CVE-2017-14491), SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-14491), openSUSE (https://lists.opensuse.org/opensuse-security-announce/2017-10/), OpenWRT (https://wiki.openwrt.org/doc/devel/security) и LEDE (https://lede-project.org/packages/pkgdata/dnsmasq).

URL: https://security.googleblog.com/2017/10/behind-masq-yet-more...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47311

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

2. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –25 +/
Сообщение от Michael Shigorin email(ok) on 02-Окт-17, 22:03 
Как-то и не торопился его применять где-либо...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –18 +/
Сообщение от пох on 02-Окт-17, 22:22 
это типовое решение для г-нороутеров. Как всякой длинковой дряни, так и сделанных админами-самоучками-без-мотора из старого писюка, который уже стыдно ставить секретарше.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +3 +/
Сообщение от andy (??) on 02-Окт-17, 22:40 
> это типовое решение для г-нороутеров.

А какое, по вашему мнению, правильное решение?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним email(??) on 02-Окт-17, 22:42 
Правильно ли я понимаю, что для эксплуатации CVE-2017-14491 нужно, чтобы сначала dnsmasq быть явно настроен на форвардинг DNS-запросов на DNS-сервер злоумышленника? Рекурсивно dnsmasq работать не умеет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +5 +/
Сообщение от KonstantinB (ok) on 02-Окт-17, 22:46 
dnsmasq wildcard - удобная штука для разработки, особенно когда субдоменов полно (скажем, проект типа жж, где у каждого пользователя свой домен) и в etc/hosts все не пропишешь.

Можно, конечно, и bind локально поднять, но это из пушки по воробьям все же.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +3 +/
Сообщение от Аноним (??) on 02-Окт-17, 22:51 
ваше мнение ну оооочень важно для нас

/0

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –3 +/
Сообщение от Аноним (??) on 02-Окт-17, 22:53 
Для эксплуатации нужно иметь какой-нибудь домен, DNS сервер для него и на каком-нибудь сайте, который у вас открыт в браузере, много-много раз открывать URL с этим доменом, отправляя ответы, которые в какой-то момент перезапишут память.

Как отключить чертов dnsmasq к херам?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 02-Окт-17, 22:54 
Нет.
"It allows an attacker who can make DNS requests to dnsmasq, and who controls the contents of a domain, which is thereby queried, to overflow a heap buffer and either crash, or  even take control of, dnsmasq"
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним email(??) on 02-Окт-17, 23:06 
libdns из bind ответы PoC-скрипта рубит ("name too long"). То есть, по меньшей мере, если в качестве рекурсивного DNS используется bind, то кривой ответ до dnsmasq не дойдет.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от Аноним (??) on 02-Окт-17, 23:19 
Точно, днсмаск же не голой задницей в интернет смотрит, фффууууух. Паника отменяется. Спасибо.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +2 +/
Сообщение от Серёга on 02-Окт-17, 23:32 
А зря. Очень удобная штука: ему можно легко прописать, куда за чем ходить. Ещё можно повесить пару-тройку dnscrypt-proxy на 127.0.X.Y и сказать dnsmasq, что спрашивать нужно там.

Дыры, в общем, неприятные, но максимум, что могут сделать, если конечно dnasmasq под контроль возьмут — узнать, куда хожу или подсунуть левый адрес.

В роутерах — хуже. Там, поди, dnsmasq из-под рута...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

15. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +1 +/
Сообщение от Аноним (??) on 02-Окт-17, 23:47 
Нет, из под nobody.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от ACCA (ok) on 02-Окт-17, 23:52 
Ну-ну.

Из своей локальной сети заходишь на форум с любимыми котиками. Один из котиков вроде бы лежит на сайте http://nothing-suspicious-public-net-54321-uk-tw.sg. NS для nothing-suspicious-public-net-54321-uk-tw.sg показывает на 1.1.2.3.

Твой dnsmasq отправляет "ANY nothing-suspicious-public-net-54321-uk-tw.sg"  на 1.1.2.3, а в ответ получает нечто неожиданное.

Дальше продолжать?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –4 +/
Сообщение от Sw00p aka Jerom on 03-Окт-17, 00:36 
unbound не?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 03-Окт-17, 00:38 
На провайдерский, гугловский или офисный рекурсивный он пошлёт. Дефолтные днсмаски не хинтят, а используют конфиг сети, типа резолвконф и тд
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –2 +/
Сообщение от Elhana (ok) on 03-Окт-17, 02:16 
По минимуму достаточно просто выпилить его, но без кеша все будет чуток медленнее (зависит от ваших интернетов).
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от qsdg (ok) on 03-Окт-17, 03:50 
Слушайте, когда нужно перегружать систему после обновления пакетов? С кернелом понятно, что нужно перегружать. С программами типа GIMP тоже понятно -- рестартовать прогу и всё. А как насчёт всяких либ? Хочу быть уверенным что не продолжаю сидеть на дыре.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Анонисмус on 03-Окт-17, 04:40 
Так же как с Gimp.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +3 +/
Сообщение от Аноним (??) on 03-Окт-17, 05:24 
needrestart/oldstable 1.2-8+deb8u1 all
  check which daemons need to be restarted after library upgrades
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от Аноним (??) on 03-Окт-17, 06:51 
вай вай, openwrt обновлять теперь нужно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +1 +/
Сообщение от glebiao (ok) on 03-Окт-17, 07:27 
зря, исключительно правильная и удобная штука

зы: уязвимости во всём забодали, жить страшно :(

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от пох on 03-Окт-17, 09:38 
> Правильно ли я понимаю, что для эксплуатации CVE-2017-14491 нужно, чтобы сначала dnsmasq
> быть явно настроен на форвардинг DNS-запросов на DNS-сервер злоумышленника?

я бы проверил, не сожрет ли он любое гуано, пришедшее ему в 53й порт. В крайнем случае - придется потрахаться, выясняя, какие в нем настроены форвардеры (обычно выбирай один из одного - 8.8.8.8, не промахнешься - заодно оно объедет файрвол, даже если он и был, а не dnsmasq на недоразумении в роли фиревола, selinux, stack protector и прочие нежности не поместились в виду недостатка мощности и памяти). Это udp, детка. Если 8.8.8.8 не работает, то, конечно, придется поискать мишень попроще - а эту оставить скрипткиддям из соседнего блока (провайдер общий, так что они точно знают, какой у него dns, зачем тратить свое время и отбирать у детей сладости ;-)


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –8 +/
Сообщение от пох on 03-Окт-17, 09:50 
> По минимуму достаточно просто выпилить его, но без кеша все будет чуток
> медленнее (зависит от ваших интернетов).

только у стардальцев с опенсорсием. В современные операционные системы собственный dns-кэш встроен (в отличие от nscd не подлежащий немедленному искоренению), еще один кривой на дороге им не нужен.

другое дело, что это автоматически открывает поле для уже на них ориентированных эксплойтов.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –2 +/
Сообщение от пох on 03-Окт-17, 09:53 
> Слушайте, когда нужно перегружать систему после обновления пакетов?

поставь себе уже _нормальную_ систему, а?

suse умеет сказать, когда именно и что нужно перезагружать (и, если это не ведро - не перезагружать вовсе, а перезапускать сервисы поштучно) с 2005го года точно, а вероятнее и с 1998го, 5.какаято.
****, вроде, после торжественных похорон дохлой собаки, замененной на непоймичто, обещала научиться (не прошло и двадцати лет) - неужели воз и ныне там?

(кто-то из модерастов - гомофил?)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +1 +/
Сообщение от пох on 03-Окт-17, 09:57 
> unbound не?

не. Этого неуловимого джо пока особо не ломают просто потому, что никому не сдался.
DoS уязвимости при этом в нем уже несколько раз находили.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от анон on 03-Окт-17, 10:01 
Переведите, пожалуйста. Похороны дохлой собаки?? Гомофил???
плз не удаляйте, пока не переведет, интересно же.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 03-Окт-17, 10:03 
я применяю на серевере, а там 7ой альт...

будет обновление или самому собирать?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 03-Окт-17, 10:12 
На OpenWrt может и так, а на вендорских прошивках вряд ли.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

34. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +1 +/
Сообщение от Аноним (??) on 03-Окт-17, 10:13 
Чтобы понять это, вам нужно было тусоваться на ОпенНете ежедневно с 8 до 24 в течении 10 лет... По-моему, ОпенНету уже нужна своя Лурка.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 03-Окт-17, 10:29 
Догадываюсь, что собака - это Yellowdog Update Manager. Насчёт остального не знаю.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

36. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноноим on 03-Окт-17, 12:01 
Вот только придется повозиться, ловя момент запроса. Нужен либо снифф, либо контроль над инициатором запроса.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –2 +/
Сообщение от Аноноим on 03-Окт-17, 12:03 
>> это типовое решение для г-нороутеров.
> А какое, по вашему мнению, правильное решение?

systemd-resolved - в нем дыр ровно в 7 раз меньше.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

38. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Andrey Mitrofanov on 03-Окт-17, 12:23 
> systemd-resolved - в нем дыр ровно в 7 раз меньше.

За в 49 раз меньшее время?...

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +1 +/
Сообщение от Аноним (??) on 03-Окт-17, 12:24 
> Как-то и не торопился его применять где-либо...

А сделай-ка всё-таки pgrep dnsmasq

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

40. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 03-Окт-17, 12:28 
Время роли не играет. Можно за 20 лет не найти ни одной дыры, а можно за неделю десяток найти.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от Аноноим on 03-Окт-17, 12:36 
> За в 49 раз меньшее время?...

resolved уже года три минимум. Получается, dnsmasq еще при Екатерине работал?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

42. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от Andrey Mitrofanov on 03-Окт-17, 13:23 
>> За в 49 раз меньшее время?...
> resolved уже года три минимум.

Да.

28.05.2014 23:39  Новая версия systemd 213 с поддержкой [,,,]

* Добавлен фоновый процесс systemd-resolved, который работает совместно с systemd-ne[,,,]

>Получается, dnsmasq еще при Екатерине работал?

Нет.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 03-Окт-17, 13:37 
И там я не видел от рута.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

44. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –2 +/
Сообщение от пох on 03-Окт-17, 13:39 
ну да, про собаку правильно поняли, а звездочками (из-за которых стало, действительно, неочевидно) пришлось заменить обычно употребляемый мной омоним к слову федора, отражающий ориентацию ее тусовки - который, видимо, то ли лично задел модератора, то ли робота какого разбудил.

а по сути-то кто может просветить - они этому научились за полтора десятилетия, или все по прежнему?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

45. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноноим on 03-Окт-17, 13:40 
> Нет.

2017-3*49=1870
Окей, при Александре II, значит.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –2 +/
Сообщение от пох on 03-Окт-17, 13:41 
> Вот только придется повозиться, ловя момент запроса.

зачем? Просто потоком туда слать полезные пакеты от имени гугля, рано или поздно попадешь.
(это если оно вообще умеет как-то фильтровать, что совсем вот не факт)

> Нужен либо снифф, либо контроль над инициатором запроса.

не, точно не нужен. Нужно либо просто (не так уж и)много пакетов, либо вообще одного хватит.


Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

47. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –2 +/
Сообщение от Аноним (??) on 03-Окт-17, 13:47 
> За в 49 раз меньшее время?...

Ну, если вы так хотите учитывать _всё_ время...
dnsmasq - 19 уязвимостей за 16 лет - 1.2 уязвимости в год (https://security-tracker.debian.org/tracker/source-package/d...)
sd-resolve - 1 уязвимость за 3 года - 0.3 уязвимости в год.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

48. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –3 +/
Сообщение от Аноним (??) on 03-Окт-17, 13:50 
bind же, ну.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

49. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Аноним (??) on 03-Окт-17, 13:51 
> зачем? Просто потоком туда слать полезные пакеты от имени гугля, рано или
> поздно попадешь.
> (это если оно вообще умеет как-то фильтровать, что совсем вот не факт)

Отсекается стандартной конфигурацией фаервола --state ESTABLISHED,RELATED (да, conntrack трассирует соединения даже в тех протоколах, где их нет - UDP, ICMP).

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +1 +/
Сообщение от Аноним (??) on 03-Окт-17, 13:52 
> sd-resolve - 1 уязвимость за 3 года - 0.3 уязвимости в год.

А это ненужно кто-то аудитил?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от Andrey Mitrofanov on 03-Окт-17, 13:55 
>> За в 49 раз меньшее время?...
> Ну, если вы так хотите учитывать _всё_ время...
> dnsmasq - 19 уязвимостей за 16 лет
> sd-resolve - 1 уязвимость за 3 года - 0.3 уязвимости в год.

А во всём s-d? ...а в переложении на человеко-голово-час пользователей?! ...и на attack-surface per <...ну, придумайте сами что-нибудь...>?  ><XXX8>

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

52. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –2 +/
Сообщение от Sw00p aka Jerom on 03-Окт-17, 14:50 
11-12 года?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

53. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от анон on 03-Окт-17, 15:23 
спасибо за пояснения.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

54. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от пох on 03-Окт-17, 15:31 
> Отсекается стандартной конфигурацией фаервола

нет, не отсекается, наоборот, пробивает даже nat. поскольку мне надоело бороться с местной модерацией, думайте сами, на то и голова дана.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

55. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от пох on 03-Окт-17, 15:32 
> нет, не отсекается, наоборот, пробивает даже nat.

именно за счет conntrack'а, разумеется. (впрочем, upnp тоже пробьет)

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

56. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от _ (??) on 03-Окт-17, 17:18 
Ох i5! :)
пох, needrestart был замечен в свежей федоре (помогал тут одному 8).
Сузю в последний раз видел в 2009 году, извиняй :)
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

57. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от пох on 03-Окт-17, 17:26 
> Сузю в последний раз видел в 2009 году, извиняй :)

в 2009м там уже все давно было. То есть любое штатное действие через zypper или графические радости, если после установки обнаруживало проблему, русским английским языком говорило, что именно застряло в памяти и с чем устаревшим связано.

Без всякой необходимости в отдельном пакете именно для этой цели.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от Аноним (??) on 03-Окт-17, 19:48 
Использую в high visibility проде, в котором dns-запросов в минуту больше, чем ты за жизнь видел. Не ломают, в атаках не участвуем. ЧЯДНТ?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

59. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
Сообщение от пох on 03-Окт-17, 23:12 
> ЧЯДНТ

нос задираешь не по разуму.
откуда тебе знать, чего я там видел?
Соответственно, и спорить с тобой не о чем. Повзрослеешь, приходи.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

60. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
Сообщение от ACCA (ok) on 03-Окт-17, 23:21 
> На провайдерский, гугловский или офисный рекурсивный он пошлёт. Дефолтные днсмаски не хинтят,
> а используют конфиг сети, типа резолвконф и тд

Ну, атака против умников, которые

  • не хотят получать от провайдера "подсказки для неправильно написанного имени"
  • не хотят открывать гуглу, куда они лазят

  • Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

    61. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
    Сообщение от Led (ok) on 03-Окт-17, 23:24 
    > Окей, при Александре II, значит.

    Няша, перелогинься.

    Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

    62. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  –1 +/
    Сообщение от Ilya Indigo (ok) on 04-Окт-17, 11:58 
    Самое то для поднятия на ноуте Wi-Fi Access Point.
    P.S. А где же одна из ваших коронных фраз, оканчивающаяся на "говорили они" или "не актуально"? :-)
    Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

    63. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +1 +/
    Сообщение от Andrey Mitrofanov on 04-Окт-17, 12:26 
    > P.S. А где же одна из ваших

    Оно не его. [мопед, да~]  Мне кажется, Михаилу хватило вкуса не штамповать шаблоны сверх меры.  Ну, эти безликие фразы, по кр.мере.  В отличие от клуба его "поклонников"...

    >коронных фраз, оканчивающаяся на "говорили
    > они" или "не актуально"? :-)

    Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

    64. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
    Сообщение от Аноним (??) on 04-Окт-17, 21:57 
    В LEDE - из-под собственного юзера dnsmasq.
    Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

    65. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
    Сообщение от Michael Shigorin email(ok) on 07-Окт-17, 17:00 
    >> Как-то и не торопился его применять где-либо...
    > А сделай-ка всё-таки pgrep dnsmasq

    И кто бы мне его поставил? ;-)

    Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

    66. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
    Сообщение от Michael Shigorin email(ok) on 07-Окт-17, 17:03 
    > я применяю на серевере, а там 7ой альт...
    > будет обновление или самому собирать?

    Ну повесьте на него что-нить в bugzilla, но если backup && dist-upgrade неохота -- то оперативней самому (пока 2.78 только до сизифа долетел, я бы при такой нужде его srpm и пересобирал).

    Вообще-то по поддержке p7 все сроки уже год назад вышли: http://altlinux.org/branches/p7 -- так что если что там обновляется, то по доброй воле майнтейнеров... (как вон и в 5.1/t6 до сих пор сборки попадают)

    Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

    67. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
    Сообщение от qsdg (ok) on 09-Окт-17, 23:27 
    Спасибо!
    Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

    68. "Уязвимости в Dnsmasq, позволяющие удалённо выполнить код ата..."  +/
    Сообщение от Andrey Mitrofanov on 10-Окт-17, 09:57 
    > needrestart/oldstable 1.2-8+deb8u1 all
    >   check which daemons need to be restarted after library upgrades

    # { lsof |grep \ DEL\ |egrep /lib\|bin/|grep -v '#prelink#' |sort ;} 2>&1 |less -S

    //да, не только демонов покажет, но и, например, firefox (кууча разнообразных названий нитей) и evince, запущенные "давно".

    Только "не перегружать систему", а перестартовать приложения.

    Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору


    Архив | Удалить

    Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor