https://slinkov.ru/openforum/vsluhforumID3/112381.html Компания Google опубликовала (https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html) результаты аудита кодовой базы пакета Dnsmasq (http://www.thekelleys.org.uk/dnsmasq/doc.html), объединяющего кэширующий DNS-резолвер и сервер DHCP. В итоге было выявлено 7 уязвимостей, из которых 3 могут привести к выполнению кода атакующего при обработке специально оформленных запросов DNS и DHCP. Для всех уязвимостей подготовлены (https://github.com/google/security-research-pocs/tree/master/vulnerabilities/dnsmasq) работающие прототипы эксплоитов. Разработчикам Dnsmasq переданы (http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=summary) патчи для устранения уязвимостей, а также реализация (https://github.com/google/security-research-pocs/blob/master/vulnerabilities/dnsmasq/sandbox/dnsmasq-sandbox.patch) уровня sandbox-изоляции на базе seccomp-bpf, которая позволит создать дополнительный бастион защиты.<br><br><br>Выявленные уязвимости:<br><br><br>- CVE-2017-14491 (https://security-tracker.debian.org/tracker/CVE- https://slinkov.ru/openforum/vsluhforumID3/112381.html#68 Tue, 10 Oct 2017 06:57:22 GMT &gt; needrestart/oldstable 1.2-8+deb8u1 all <br>&gt; check which daemons need to be restarted after library upgrades <br><br># { lsof &#124;grep \ DEL\ &#124;egrep /lib\&#124;bin/&#124;grep -v '#prelink#' &#124;sort ;} 2&gt;&1 &#124;less -S<br><br>//да, не только демонов покажет, но и, например, firefox (кууча разнообразных названий нитей) и evince, запущенные "давно".<br><br>Только "не перегружать систему", а перестартовать приложения.<br> https://slinkov.ru/openforum/vsluhforumID3/112381.html#67 Mon, 09 Oct 2017 20:27:11 GMT Спасибо!<br> https://slinkov.ru/openforum/vsluhforumID3/112381.html#66 Sat, 07 Oct 2017 14:03:57 GMT &gt; я применяю на серевере, а там 7ой альт...<br>&gt; будет обновление или самому собирать?<br><br>Ну повесьте на него что-нить в bugzilla, но если backup && dist-upgrade неохота -- то оперативней самому (пока 2.78 только до сизифа долетел, я бы при такой нужде его srpm и пересобирал).<br><br>Вообще-то по поддержке p7 все сроки уже год назад вышли: http://altlinux.org/branches/p7 -- так что если что там обновляется, то по доброй воле майнтейнеров... (как вон и в 5.1/t6 до сих пор сборки попадают)<br> https://slinkov.ru/openforum/vsluhforumID3/112381.html#65 Sat, 07 Oct 2017 14:00:26 GMT &gt;&gt; Как-то и не торопился его применять где-либо...<br>&gt; А сделай-ка всё-таки pgrep dnsmasq <br><br>И кто бы мне его поставил? ;-)<br> https://slinkov.ru/openforum/vsluhforumID3/112381.html#64 Wed, 04 Oct 2017 18:57:08 GMT В LEDE - из-под собственного юзера dnsmasq.<br> https://slinkov.ru/openforum/vsluhforumID3/112381.html#63 Wed, 04 Oct 2017 09:26:00 GMT &gt; P.S. А где же одна из ваших<br><br>Оно не его. [мопед, да~] Мне кажется, Михаилу хватило вкуса не штамповать шаблоны сверх меры. Ну, эти безликие фразы, по кр.мере. В отличие от клуба его "поклонников"...<br><br>&gt;коронных фраз, оканчивающаяся на "говорили <br>&gt; они" или "не актуально"? :-) https://slinkov.ru/openforum/vsluhforumID3/112381.html#62 Wed, 04 Oct 2017 08:58:00 GMT Самое то для поднятия на ноуте Wi-Fi Access Point.<br>P.S. А где же одна из ваших коронных фраз, оканчивающаяся на "говорили они" или "не актуально"? :-)<br> https://slinkov.ru/openforum/vsluhforumID3/112381.html#61 Tue, 03 Oct 2017 20:24:01 GMT &gt; Окей, при Александре II, значит.<br><br>Няша, перелогинься.<br> https://slinkov.ru/openforum/vsluhforumID3/112381.html#60 Tue, 03 Oct 2017 20:21:14 GMT &gt; На провайдерский, гугловский или офисный рекурсивный он пошлёт. Дефолтные днсмаски не хинтят, <br>&gt; а используют конфиг сети, типа резолвконф и тд <br><br>Ну, атака против умников, которые<br>[li]не хотят получать от провайдера "подсказки для неправильно написанного имени"<br>[li]не хотят открывать гуглу, куда они лазят<br><br>