The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.10.2017 21:31  Уязвимости в Dnsmasq, позволяющие удалённо выполнить код атакующего

Компания Google опубликовала результаты аудита кодовой базы пакета Dnsmasq, объединяющего кэширующий DNS-резолвер и сервер DHCP. В итоге было выявлено 7 уязвимостей, из которых 3 могут привести к выполнению кода атакующего при обработке специально оформленных запросов DNS и DHCP. Для всех уязвимостей подготовлены работающие прототипы эксплоитов. Разработчикам Dnsmasq переданы патчи для устранения уязвимостей, а также реализация уровня sandbox-изоляции на базе seccomp-bpf, которая позволит создать дополнительный бастион защиты.

Выявленные уязвимости:

  • CVE-2017-14491 - переполнение кучи в коде формирования DNS-ответов. В версиях Dnsmasq 2.76 и 2.77 возможно лишь двухбайтовое переполнение, но в выпусках до 2.76 такого ограничения нет. Добившись обработки в dnsmasq специально оформленных DNS-пакетов (например, если клиент попытается выполнить резолвинг домена, размещённом на подконтрольном злоумышленнику DNS-сервере), атакующий может добиться выполнения своего кода на сервере. Компания Red Hat присвоила уязвимости наивысший критический уровень опасности.

    Наиболее вероятными мишенями для совершения атаки могут стать внутренние и публичные сети с резолвером на основе Dnsmasq, например, сети Wi-Fi с точками доступа на базе дистрибутивов LEDE и OpenWRT, в которых используется Dnsmasq. При этом вектор атак не ограничивается локальными сетями, по данным сервиса Shodan в сети присутствует более миллиона хостов, предоставляющих доступ к резолверу на базе Dnsmasq.

  • CVE-2017-14492 - переполнение буфера в коде обработки анонсов маршрутизатора IPv6 (RA, Router Advertisement). Атакующий в локальном сегменте сети может отправить специально оформленный анонс RA к dnsmasq и инициировать выполнение своего кода. Уязвимость проявляется только в конфигурациях с DHCP, в которых активна одна из следующих опций: enable-ra, ra-only, slaac, ra-names, ra-advrouter или ra-stateless;
  • CVE-2017-14493 - переполнение стека в коде DHCPv6, которое может привести к выполнению кода через отправку в локальной сети специально оформленного запроса DHCPv6;
  • CVE-2017-14494 - утечка информации из памяти процесса dnsmasq. Атакующий в локальной сети может отправить специальной оформленный пакет DHCPv6, в пакете с ответом на который будет содержаться часть памяти процесса, которая потенциально может содержать конфиденциальные данные;
  • CVE-2017-14495 - утечка памяти в коде EDNS0. Атакущий может через отправку серии DNS-запросов вызвать исчерпание доступной процессу памяти. Проблема проявляется только при использовании опций add-mac, add-cpe-id или add-subnet;
  • CVE-2017-14496 - целочисленное переполнение в коде EDNS0, приводящее к чтению данных из областей вне границ буфера. Через отправку специально оформленных запросов DNS можно вызвать крах процесса dnsmasq. Проблема проявляется только при использовании опций add-mac, add-cpe-id или add-subnet.

Проблемы устранены в выпуске Dnsmasq 2.78. Обновления уже выпущены для RHEL, Ubuntu, Arch Linux, Fedora и FreeBSD. Исправления также вошли в состав октябрьского обновления платформы Android. Обновления пока недоступны для Debian, SUSE, openSUSE, OpenWRT и LEDE.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Обновление nginx 1.8.1 и 1.9.10 с устранением уязвимостей в резолвере DNS
  3. OpenNews: Удалённо эксплуатируемая уязвимость в Glibc, охватывающая большинство сетевых приложений в Linux
  4. OpenNews: 11 удалённо эксплуатируемых уязвимостей во FreeRADIUS
  5. OpenNews: BlueBorne - опаснейшая удалённая уязвимость в Bluetooth-стеках Linux, Android, iOS и Windows
  6. OpenNews: Уязвимости в Dnsmasq и Qt. Эксплоит для sock_sendpage-уязвимости Linux ядра
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dns, dhcp, dnsmasq
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Michael Shigorin, 22:03, 02/10/2017 [ответить] [смотреть все]
  • –25 +/
    Как-то и не торопился его применять где-либо...
     
     
  • 2.5, пох, 22:22, 02/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –18 +/
    это типовое решение для г-нороутеров Как всякой длинковой дряни, так и сделанны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.6, andy, 22:40, 02/10/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    А какое, по вашему мнению, правильное решение ... весь текст скрыт [показать]
     
     
  • 4.17, Sw00p aka Jerom, 00:36, 03/10/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    unbound не?
     
     
  • 5.30, пох, 09:57, 03/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    не Этого неуловимого джо пока особо не ломают просто потому, что никому не сдал... весь текст скрыт [показать]
     
     
  • 6.52, Sw00p aka Jerom, 14:50, 03/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    11-12 года?
     
  • 6.58, Аноним, 19:48, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Использую в high visibility проде, в котором dns-запросов в минуту больше, чем т... весь текст скрыт [показать]
     
     
  • 7.59, пох, 23:12, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    нос задираешь не по разуму откуда тебе знать, чего я там видел Соответственно,... весь текст скрыт [показать]
     
  • 5.48, Аноним, 13:50, 03/10/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    bind же, ну.
     
  • 4.37, Аноноим, 12:03, 03/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    systemd-resolved - в нем дыр ровно в 7 раз меньше ... весь текст скрыт [показать]
     
     
  • 5.38, Andrey Mitrofanov, 12:23, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    За в 49 раз меньшее время ... весь текст скрыт [показать]
     
     
  • 6.40, Аноним, 12:28, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Время роли не играет Можно за 20 лет не найти ни одной дыры, а можно за неделю ... весь текст скрыт [показать]
     
  • 6.41, Аноноим, 12:36, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    resolved уже года три минимум Получается, dnsmasq еще при Екатерине работал ... весь текст скрыт [показать]
     
     
  • 7.42, Andrey Mitrofanov, 13:23, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Да 28 05 2014 23 39 Новая версия systemd 213 с поддержкой ,,, Добавлен фон... весь текст скрыт [показать]
     
     
  • 8.45, Аноноим, 13:40, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Нет.

    2017-3*49=1870
    Окей, при Александре II, значит.

     
     
  • 9.61, Led, 23:24, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    > Окей, при Александре II, значит.

    Няша, перелогинься.

     
  • 6.47, Аноним, 13:47, 03/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну, если вы так хотите учитывать _всё_ время dnsmasq - 19 уязвимостей за 16 л... весь текст скрыт [показать]
     
     
  • 7.50, Аноним, 13:52, 03/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А это ненужно кто-то аудитил ... весь текст скрыт [показать]
     
  • 7.51, Andrey Mitrofanov, 13:55, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    А во всём s-d а в переложении на человеко-голово-час пользователей и на... весь текст скрыт [показать]
     
  • 2.8, KonstantinB, 22:46, 02/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    dnsmasq wildcard - удобная штука для разработки, особенно когда субдоменов полно... весь текст скрыт [показать] [показать ветку]
     
  • 2.9, Аноним, 22:51, 02/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    ваше мнение ну оооочень важно для нас

    /0

     
  • 2.14, Серёга, 23:32, 02/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А зря Очень удобная штука ему можно легко прописать, куда за чем ходить Ещё м... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 23:47, 02/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет, из под nobody.
     
     
  • 4.33, Аноним, 10:12, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    На OpenWrt может и так, а на вендорских прошивках вряд ли.
     
     
  • 5.43, Аноним, 13:37, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    И там я не видел от рута.
     
  • 5.64, Аноним, 21:57, 04/10/2017 [^] [ответить] [смотреть все]  
  • +/
    В LEDE - из-под собственного юзера dnsmasq.
     
  • 2.24, glebiao, 07:27, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    зря, исключительно правильная и удобная штука зы уязвимости во всём забодали, ж... весь текст скрыт [показать] [показать ветку]
     
  • 2.32, Аноним, 10:03, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    я применяю на серевере, а там 7ой альт будет обновление или самому собирать ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, Michael Shigorin, 17:03, 07/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну повесьте на него что-нить в bugzilla, но если backup dist-upgrade неохота ... весь текст скрыт [показать]
     
  • 2.39, Аноним, 12:24, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А сделай-ка всё-таки pgrep dnsmasq... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.65, Michael Shigorin, 17:00, 07/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    И кто бы мне его поставил - ... весь текст скрыт [показать]
     
  • 2.62, Ilya Indigo, 11:58, 04/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Самое то для поднятия на ноуте Wi-Fi Access Point P S А где же одна из ваших к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Andrey Mitrofanov, 12:26, 04/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Оно не его мопед, да Мне кажется, Михаилу хватило вкуса не штамповать шабло... весь текст скрыт [показать]
     
  • 1.7, Аноним, 22:42, 02/10/2017 [ответить] [смотреть все]  
  • +/
    Правильно ли я понимаю, что для эксплуатации CVE-2017-14491 нужно, чтобы сначала... весь текст скрыт [показать]
     
     
  • 2.10, Аноним, 22:53, 02/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Для эксплуатации нужно иметь какой-нибудь домен, DNS сервер для него и на каком-... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Elhana, 02:16, 03/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    По минимуму достаточно просто выпилить его, но без кеша все будет чуток медленне... весь текст скрыт [показать]
     
     
  • 4.28, пох, 09:50, 03/10/2017 [^] [ответить] [смотреть все]  
  • –8 +/
    только у стардальцев с опенсорсием В современные операционные системы собственн... весь текст скрыт [показать]
     
  • 2.11, Аноним, 22:54, 02/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нет It allows an attacker who can make DNS requests to dnsmasq, and who contro... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Аноним, 23:06, 02/10/2017 [^] [ответить] [смотреть все]  
  • +/
    libdns из bind ответы PoC-скрипта рубит name too long То есть, по меньшей м... весь текст скрыт [показать]
     
     
  • 4.13, Аноним, 23:19, 02/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Точно, днсмаск же не голой задницей в интернет смотрит, фффууууух Паника отменя... весь текст скрыт [показать]
     
     
  • 5.16, ACCA, 23:52, 02/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну-ну Из своей локальной сети заходишь на форум с любимыми котиками Один из ко... весь текст скрыт [показать]
     
     
  • 6.18, Аноним, 00:38, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    На провайдерский, гугловский или офисный рекурсивный он пошлёт Дефолтные днсмас... весь текст скрыт [показать]
     
     
  • 7.60, ACCA, 23:21, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну, атака против умников, которые li не хотят получать от провайдера подсказки... весь текст скрыт [показать]
     
  • 2.26, пох, 09:38, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    я бы проверил, не сожрет ли он любое гуано, пришедшее ему в 53й порт В крайнем ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Аноноим, 12:01, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот только придется повозиться, ловя момент запроса Нужен либо снифф, либо конт... весь текст скрыт [показать]
     
     
  • 4.46, пох, 13:41, 03/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    зачем Просто потоком туда слать полезные пакеты от имени гугля, рано или поздно... весь текст скрыт [показать]
     
     
  • 5.49, Аноним, 13:51, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Отсекается стандартной конфигурацией фаервола --state ESTABLISHED,RELATED да, c... весь текст скрыт [показать]
     
     
  • 6.54, пох, 15:31, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    нет, не отсекается, наоборот, пробивает даже nat поскольку мне надоело бороться... весь текст скрыт [показать]
     
     
  • 7.55, пох, 15:32, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    именно за счет conntrack а, разумеется впрочем, upnp тоже пробьет ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (15)

  • 1.20, qsdg, 03:50, 03/10/2017 [ответить] [смотреть все]  
  • –1 +/
    Слушайте, когда нужно перегружать систему после обновления пакетов? С кернелом понятно, что нужно перегружать. С программами типа GIMP тоже понятно -- рестартовать прогу и всё. А как насчёт всяких либ? Хочу быть уверенным что не продолжаю сидеть на дыре.
     
     
  • 2.21, Анонисмус, 04:40, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так же как с Gimp.
     
  • 2.22, Аноним, 05:24, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    needrestart oldstable 1 2-8 deb8u1 all check which daemons need to be restarte... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.67, qsdg, 23:27, 09/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Спасибо!
     
  • 3.68, Andrey Mitrofanov, 09:57, 10/10/2017 [^] [ответить] [смотреть все]  
  • +/
    lsof 124 grep DEL 124 egrep lib 124 bin 124 grep -v prelink ... весь текст скрыт [показать]
     
  • 2.29, пох, 09:53, 03/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    поставь себе уже _нормальную_ систему, а suse умеет сказать, когда именно и что... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, анон, 10:01, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Переведите, пожалуйста Похороны дохлой собаки Гомофил плз не удаляйте, по... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 10:13, 03/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Чтобы понять это, вам нужно было тусоваться на ОпенНете ежедневно с 8 до 24 в те... весь текст скрыт [показать]
     
  • 4.35, Аноним, 10:29, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Догадываюсь, что собака - это Yellowdog Update Manager Насчёт остального не зна... весь текст скрыт [показать]
     
  • 4.44, пох, 13:39, 03/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    ну да, про собаку правильно поняли, а звездочками (из-за которых стало, действительно, неочевидно) пришлось заменить обычно употребляемый мной омоним к слову федора, отражающий ориентацию ее тусовки - который, видимо, то ли лично задел модератора, то ли робота какого разбудил.

    а по сути-то кто может просветить - они этому научились за полтора десятилетия, или все по прежнему?

     
     
  • 5.53, анон, 15:23, 03/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    спасибо за пояснения.
     
  • 5.56, _, 17:18, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ох i5! :)
    пох, needrestart был замечен в свежей федоре (помогал тут одному 8).
    Сузю в последний раз видел в 2009 году, извиняй :)
     
     
  • 6.57, пох, 17:26, 03/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > Сузю в последний раз видел в 2009 году, извиняй :)

    в 2009м там уже все давно было. То есть любое штатное действие через zypper или графические радости, если после установки обнаруживало проблему, русским английским языком говорило, что именно застряло в памяти и с чем устаревшим связано.

    Без всякой необходимости в отдельном пакете именно для этой цели.

     
  • 1.23, Аноним, 06:51, 03/10/2017 [ответить] [смотреть все]  
  • –1 +/
    вай вай, openwrt обновлять теперь нужно
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor