The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в DNS-сервере Unbound, допускающее удалённое выполнение кода

20.11.2019 10:30

В DNS-сервере Unbound выявлена уязвимость (CVE-2019-18934), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем ipsec ("--enable-ipsecmod") и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске Unbound 1.9.5.

Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды ipsecmod-hook, в случае получения запроса для домена, для которого присутствуют записи A/AAAA и IPSECKEY. Подстановка кода осуществляется через указание специально оформленного доменного имени в полях qname и gateway, привязанных к записи IPSECKEY.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Релиз DNS-сервера Unbound 1.7.0
  3. OpenNews: В BIND, Unbound и PowerDNS устранены уязвимости
  4. OpenNews: В состав FreeBSD-CURRENT интегрирован DNS-сервер Unbound
  5. OpenNews: Релиз PowerDNS Recursor 4.2 и инициатива DNS flag day 2020
  6. OpenNews: Ассоциации провайдеров США выступили против централизации при внедрении DNS-over-HTTPS
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: unbound, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:58, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В OpenWRT проявляется?
     
     
  • 2.2, Fyjy (?), 11:03, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут есть несколько вопросов:

    1. Зачем ты притащил этот дуршлаг себе на роутер?
    2. Зачем ты выставляешь 53/udp и 53/tcp своего роутера голой дупой наружу?

    Если сможешь ответить на эти два вопроса, то обсудим все остальное.

     
     
  • 3.3, Аноним (1), 11:10, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, я его с dnsmasq перепутал, где тоже когда-то уязвимость была. Всё нормально.
     
  • 3.4, Аноним (4), 11:12, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. Расскажи про альтернативы
    2. Для эксплуатации уязвимости не нужен 53 порт наружу.
     
     
  • 4.14, Fyjy (?), 15:22, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Тебе нужен резолвер, а не DNS-сервер. Есть прекрасный dnscrypt-proxy, который есть в репах OpenWRT
     
     
  • 5.17, Анон1999 (?), 08:18, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Unbound и есть резолвер, умник
     
  • 3.12, Аноним (12), 12:37, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    почему openwrt - дуршлаг?
     

  • 1.5, Аноним (5), 11:16, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    а кто в курсе, что это вообще за неведомая е6анина "ipsec module" и зачем оно ненужно? Какой еще нахрен ipsec - в dns-ресолвере?

     
     
  • 2.6, ryoken (ok), 11:38, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.
     
     
  • 3.7, fantom (??), 11:49, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Не путайте теплое с мягким.
     
  • 3.13, Аноним (13), 13:16, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Значит, Вы просто не знаете, что такое IPsec.
    OpenVPN имеет только часть функциональности, которая есть IPsec. C IPsec Вы можете, например, установить правило для ssh работать в Ipsec transport mode, тем самым добавив ещё один слой шифрования и избавив себя (в некоторой степени) от рисков связанных с уязвимостями в ssh.
     
     
  • 4.15, Аноним (15), 17:25, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да и в ОпенВПН тоже так всегда было - тоже канал умеет шифровать.
     
  • 3.18, Аноним (18), 10:35, 21/11/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.

    Не всем хватает скорости модема.

     
  • 2.10, Рома (??), 11:58, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Можно хранить открытый ключ шлюза в DNS, это удобно когда нет постоянного IP-адреса или он меняется как в AWS или Azure. Плюс к этому Unbound поддерживает DNSSEC, так что ответ о ключе и новом IP придет подтвержденным.
     
  • 2.11, Нанобот (ok), 12:29, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    возможно речь идёт об RFC4025 (A Method for Storing IPsec Keying Material in DNS)
     

  • 1.8, xm (ok), 11:51, 20/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну такая специфичная штука которая мало кому может понадобиться, да и модуль этот выключен при сборке по умолчанию везде.
    https://tools.ietf.org/html/rfc4025
     
     
  • 2.9, Аноним (5), 11:56, 20/11/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ну такая специфичная штука которая мало кому может понадобиться

    спасибо, действительно - эталонное ненужно в ненужно для поддержки ненужно.

    (в какой реализации ipsec есть какие-то "public keys", умеют ли авторы rfc отличать ipsec от ike, какой смысл в пусть даже надежно-эффективно-безбажно реализованной возможности подсмотреть в dns public key, если для установления соединения нужна куча других сведений о хосте, помимо его имени - вопросы риторические)

     

  • 1.16, Аноним (16), 08:03, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды

    haha classic

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру