The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +/
Сообщение от opennews (??), 20-Ноя-19, 10:58 
В DNS-сервере Unbound  выявлена уязвимость (CVE-2019-18934), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем  ipsec ("--enable-ipsecmod") и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске Unbound 1.9.5...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=51900

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  –3 +/
Сообщение от Аноним (1), 20-Ноя-19, 10:58 
В OpenWRT проявляется?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  –1 +/
Сообщение от Fyjy (?), 20-Ноя-19, 11:03 
Тут есть несколько вопросов:

1. Зачем ты притащил этот дуршлаг себе на роутер?
2. Зачем ты выставляешь 53/udp и 53/tcp своего роутера голой дупой наружу?

Если сможешь ответить на эти два вопроса, то обсудим все остальное.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  –1 +/
Сообщение от Аноним (1), 20-Ноя-19, 11:10 
А, я его с dnsmasq перепутал, где тоже когда-то уязвимость была. Всё нормально.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +1 +/
Сообщение от Аноним (4), 20-Ноя-19, 11:12 
1. Расскажи про альтернативы
2. Для эксплуатации уязвимости не нужен 53 порт наружу.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  –3 +/
Сообщение от Fyjy (?), 20-Ноя-19, 15:22 
Тебе нужен резолвер, а не DNS-сервер. Есть прекрасный dnscrypt-proxy, который есть в репах OpenWRT
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +/
Сообщение от Анон1999 (?), 21-Ноя-19, 08:18 
Unbound и есть резолвер, умник
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +3 +/
Сообщение от Аноним (12), 20-Ноя-19, 12:37 
почему openwrt - дуршлаг?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +4 +/
Сообщение от Аноним (5), 20-Ноя-19, 11:16 
а кто в курсе, что это вообще за неведомая е6анина "ipsec module" и зачем оно ненужно? Какой еще нахрен ipsec - в dns-ресолвере?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  –8 +/
Сообщение от ryoken (ok), 20-Ноя-19, 11:38 
Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +7 +/
Сообщение от fantom (??), 20-Ноя-19, 11:49 
Не путайте теплое с мягким.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +1 +/
Сообщение от Аноним (13), 20-Ноя-19, 13:16 
Значит, Вы просто не знаете, что такое IPsec.
OpenVPN имеет только часть функциональности, которая есть IPsec. C IPsec Вы можете, например, установить правило для ssh работать в Ipsec transport mode, тем самым добавив ещё один слой шифрования и избавив себя (в некоторой степени) от рисков связанных с уязвимостями в ssh.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +/
Сообщение от Аноним (15), 20-Ноя-19, 17:25 
Да и в ОпенВПН тоже так всегда было - тоже канал умеет шифровать.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +/
Сообщение от Аноним (18), 21-Ноя-19, 10:35 
> Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.

Не всем хватает скорости модема.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +4 +/
Сообщение от Рома (??), 20-Ноя-19, 11:58 
Можно хранить открытый ключ шлюза в DNS, это удобно когда нет постоянного IP-адреса или он меняется как в AWS или Azure. Плюс к этому Unbound поддерживает DNSSEC, так что ответ о ключе и новом IP придет подтвержденным.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +2 +/
Сообщение от Нанобот (ok), 20-Ноя-19, 12:29 
возможно речь идёт об RFC4025 (A Method for Storing IPsec Keying Material in DNS)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +4 +/
Сообщение от xm (ok), 20-Ноя-19, 11:51 
Ну такая специфичная штука которая мало кому может понадобиться, да и модуль этот выключен при сборке по умолчанию везде.
https://tools.ietf.org/html/rfc4025
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +3 +/
Сообщение от Аноним (5), 20-Ноя-19, 11:56 
> Ну такая специфичная штука которая мало кому может понадобиться

спасибо, действительно - эталонное ненужно в ненужно для поддержки ненужно.

(в какой реализации ipsec есть какие-то "public keys", умеют ли авторы rfc отличать ipsec от ike, какой смысл в пусть даже надежно-эффективно-безбажно реализованной возможности подсмотреть в dns public key, если для установления соединения нужна куча других сведений о хосте, помимо его имени - вопросы риторические)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."  +/
Сообщение от Аноним (16), 21-Ноя-19, 08:03 
>Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды

haha classic

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру