The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.06.2017 09:31  Уязвимость в systemd-resolved

В systemd-resolved, поставляемом в составе systemd кэширующем DNS-резолвере, выявлена уязвимость (CVE-2017-9445), которая потенциально может привести к выполнению кода при обработке специально оформленного ответа от DNS-сервера, подконтрольного злоумышленнику. Проблема вызвана ошибкой в расчёте размера памяти для обработки запроса, которая может привести к тому, что TCP-ответ не уместится в выделенный буфер.

Проблеме подвержены версии systemd с 223 по 233 включительно. Обновление с устранением проблемы выпущено для Fedora Linux и Ubuntu, но пока недоступно для Debian Stretch. Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: В systemd 228 обнаружена локальная root-уязвимость
  3. OpenNews: Локальная DoS-уязвимость в systemd
  4. OpenNews: Релиз systemd 231
  5. OpenNews: Релиз systemd 232
  6. OpenNews: Релиз systemd 233
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: systemd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (-), 09:39, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +18 +/
    Вопрос: а нафига он вообще нужен?
     
     
  • 2.4, Andrey Mitrofanov (?), 09:47, 28/06/2017 [^] [ответить]     [к модератору]
  • +/
    s-d не нужен -- просто его продят и наяривают так, что слабые на ок анонимы ... весь текст скрыт [показать]
     
     
  • 3.21, Аноним (-), 10:25, 28/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    > что слабые на ....ок анонимы в восторге

    анонимы в восторге? я аноним и я пропагандирую здоровый образ жизни без s-d.
    а вы, если не курите, то бросайте и пить. ну или закусывайте плотно.

     
     
  • 4.23, Andrey Mitrofanov (?), 10:49, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Мало ли в Бразилии донов Педров ц Некоторые слабы на https ru wikipedia o... весь текст скрыт [показать]
     
  • 2.5, A.Stahl (ok), 09:50, 28/06/2017 [^] [ответить]    [к модератору]  
  • +15 +/
    Чтобы не отсылать чёрт знает куда запросы на резолв на каждый чих. Так у тебя на локалхосте будет свой резолвер с твоими сайтами и околонулевым временем отклика.
    Ефрейтор очевидных войск A.Stahl
     
     
  • 3.8, Аноним (-), 09:54, 28/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Надо полагать других раньше не было?
     
     
  • 4.22, A.Stahl (ok), 10:26, 28/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Были другие. И ещё будут другие. Разнообразие -- базис эволюции.
     
     
  • 5.31, Аноним (-), 12:32, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    а можно выпилить этот и поставить dnsmasq ?
     
     
  • 6.33, Аноним (-), 12:48, 28/06/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    Можно, но dnsmasq отсылает запросы к вышестоящим резолверам не параллельно, а по... весь текст скрыт [показать]
     
     
  • 7.34, A.Stahl (ok), 12:50, 28/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Т.е. ты хочешь сказать что resolved лучше старого решения? Де тебе сейчас аноним глаза выцарапает!
     
     
  • 8.36, Аноним (-), 12:52, 28/06/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > Де тебе сейчас аноним глаза выцарапает!

    Аноним анониму глаз не выцарапает :)

     
  • 7.40, Andrey Mitrofanov (?), 13:56, 28/06/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    > Можно, но dnsmasq отсылает запросы к вышестоящим резолверам не параллельно, а последовательно,
    > так что если первый из них не отвечает, имеем гарантированное подвисание.

    man dnsmasq на предмет --all-servers.

    > Кроме того, если первый резолвер ответил NOTFOUND, то считается, что такого домена
    > не существует. resolved при наличии

    man dnsmasq на предмет --no-negcache.

    > его. Таким образом можно, например,

     
     
  • 8.57, Аноним (-), 15:54, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Просто твой собеседник, как и поцтер, маны не читает. Но собеседник горазд только на форумах за величие поцтера топить, а поцтер всё незнакомое переписывает чтобы мейнстримный линукс скорее сдох.
     
     
  • 9.83, Аноним (-), 20:15, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Я болею за Лёню. Надеюсь, у него получится.
     
  • 9.90, Аноним (-), 20:53, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Чтобы мейнстримный линукс сдох, он сначала должен родиться, но процесс этого рождения почему-то ломает всех адептов.

    PS: разве это не замена nscd?

     
     
  • 10.91, Аноним (-), 21:10, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты его то ли не застал, не успев родиться, то ли фантазируешь над устаревшей методичкой
     
  • 8.101, user455 (?), 23:45, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    но разве это то же самое т е это отключает кеширование no such domain а ту... весь текст скрыт [показать]
     
  • 7.47, Elhana (ok), 14:29, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Если вам нужен кешер и локальный днс, то локальный bind может спокойно быть и тем и тем, тогда не понятно нафига нужен resolved.
     
     
  • 8.64, Аноним (-), 16:43, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Как уже выше заметил один, разнообразие 8212 базис эволюции А то так вы сейч... весь текст скрыт [показать]
     
     
  • 9.71, Pse (?), 17:44, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >на почве беспричинной ненависти к одному
    >конкретному разработчику

    "Беспричинной" - хорошая шутка, Анон!

     
  • 9.79, 111 (??), 19:31, 28/06/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Проблема, как раз в том, что разнообразие страдает из-за того, что ЭТО из системы просто так не выкинуть.
     
     
  • 10.103, Аноним (-), 07:01, 29/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Проблема, как раз в том, что разнообразие страдает из-за того, что ЭТО
    > из системы просто так не выкинуть.

    Элементарно выкидывается установкой USE флага "-systemd" в нормальной OS.

     
  • 9.84, Аноним (-), 20:17, 28/06/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Конечно же нет Свора тявкающих шавок вокруг слона полезна - она не даёт слону р... весь текст скрыт [показать]
     
  • 9.95, Elhana (ok), 23:00, 28/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    При чем тут вообще ненависть, если resolvd в данном конкретном случае лишнее зве... весь текст скрыт [показать]
     
     
  • 10.98, username (??), 23:15, 28/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Я тот самый админ с интранетом Лёне привет, удалил этот рак из дистрибутива по ... весь текст скрыт [показать]
     
  • 7.99, username (??), 23:21, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Да, последовательно А проблема существует Клиент в один момент времени запраши... весь текст скрыт [показать]
     
  • 7.100, username (??), 23:30, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Читай зачем нужны опции в resolv conf Так и должно отвечать, мало того много чег... весь текст скрыт [показать]
     
  • 7.104, rpm (?), 07:02, 29/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    А если ответят оба резолвера и ответ будет разный?
     
  • 7.106, Аноним (-), 07:31, 29/06/2017 [^] [ответить]     [к модератору]  
  • +/
    А юный хакер майор полиции подрабатывающий в провайдере google dns yandex dns sk... весь текст скрыт [показать]
     
  • 7.116, Линус (?), 07:28, 30/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >параллельно
    >последовательно
    >одновременно

    ну-ну
    пакеты с запросами тоже одновременно из твоего интернета вылетают?

     
  • 7.120, Иван (??), 17:28, 16/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > не параллельно, а последовательно

    А зачем параллельно? Без этого мало срани в сетях? Надо добавить?

     
  • 3.13, Andrey Mitrofanov (?), 10:01, 28/06/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Нет, для этого всегда был нужен bind 4 8, 4 9, сейчас вот dnsmasq на всех на... весь текст скрыт [показать]
     
     
  • 4.25, Аноним (-), 11:18, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >для этого всегда был нужен... bind 4.8, 4.9, сейчас вот dnsmasq

    Да ладно, на кой мне это г*** на локалхост, пусть на сервере крутятся.
    Каждый должен заниматься своим делом.

     
  • 4.35, Аноним (-), 12:50, 28/06/2017 [^] [ответить]     [к модератору]  
  • –4 +/
    А зачем теперь тащить в систему левый dnsmasq, если рекурсивный резолвер есть в ... весь текст скрыт [показать]
     
     
  • 5.41, Andrey Mitrofanov (?), 13:59, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >> [на всех наших el6, el7 и пр.] наструячили.
    >рекурсивный резолвер есть в resolved

    Где? Можно без "и пр.". el6 и el7. С одним конфиом -- так и вообще хорошо...


     
  • 4.37, PnDx (ok), 13:01, 28/06/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    bind Кэшером на localhost Да ещё 4 x это из каких годов Не-не В тех годах,... весь текст скрыт [показать]
     
     
  • 5.68, Мимоанон (?), 17:29, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А можно узнать в чем собсвенно столько хейта bind? Дома 600тыс зон держать не нужно, а значит по памяти разница будет минимальной. Есть еще причины?
     
     
  • 6.74, PnDx (ok), 18:14, 28/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    0 А хейт тут причём 1 bind4 Тест на внимательность 2 Комбайн, с подозре... весь текст скрыт [показать]
     
     
  • 7.109, Мимоанон (?), 08:07, 29/06/2017 [^] [ответить]     [к модератору]  
  • +/
    речь идет про возможность создания авторитативного сервера не согласен куда п... весь текст скрыт [показать]
     
  • 6.112, Аноним (-), 12:26, 29/06/2017 [^] [ответить]     [к модератору]  
  • +/
    А есть причины забивать гвозди микроскопом ... весь текст скрыт [показать]
     
  • 4.49, кверти (ok), 14:30, 28/06/2017 [^] [ответить]    [к модератору]  
  • –4 +/
    Ну да, я сейчас разогнался ставить bind на десктоп, ага...Совсем клоун?
     
     
  • 5.52, Crazy Alex (ok), 14:54, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А что здесь такого?
     
  • 5.54, Andrey Mitrofanov (?), 15:14, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Можешь не приходить, вычёркиваю Для раздражающихся поясняю не про вас, почте... весь текст скрыт [показать]
     
     
  • 6.72, кверти (ok), 17:56, 28/06/2017 [^] [ответить]     [к модератору]  
  • –7 +/
    Ты и тебе подобные просто хэйтеры systemd и поттеринга в часности Из ваших уст ... весь текст скрыт [показать]
     
     
  • 7.80, Andrey Mitrofanov (?), 20:04, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Конечно, пусть будет конкурентом Полностью согласен С успехом им не пользуюсь ... весь текст скрыт [показать]
     
  • 3.111, Аноним (-), 12:24, 29/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Чтобы не отсылать чёрт знает куда запросы на резолв на каждый чих.

    Для того давным-давно придуман nscd.

     
  • 2.60, Аноним (-), 16:18, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >Вопрос: а нафига он вообще нужен?

    systemd?

     
     ....нить скрыта, показать (46)

  • 1.6, Аноним (-), 09:51, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +9 +/
    > в составе systemd кэширующем DNS-резолвере

    Зачем иниту DNS?

     
     
  • 2.7, Аноним (-), 09:52, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/

    > Зачем иниту DNS?

    Systemd - это не инит.

     
     
  • 3.14, Andrey Mitrofanov (?), 10:04, 28/06/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    >> Зачем иниту DNS?
    > Systemd - это не инит.

    +1 "Этот-то? Да какой он инит."

    Диалог у ворот рая:
    --Правда, что программеров р рай не пускают?
    --Правда.
    --А как же этот. [кивает на гуляющего за оградкой Б.Г.]
    --Этот-то? Да какой он программист!

     
     
  • 4.53, Аноним (-), 15:11, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Б.Г.? Бориса Гребенщикова что-ли? Почему не Л.П.?
     
     
  • 5.107, Аноним (-), 07:58, 29/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Чёт вспомнил анекдот про "конину 6лядскую".
     
  • 3.19, Аноним (-), 10:22, 28/06/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    Правильно. Это - религия.
     
     
  • 4.24, Andrey Mitrofanov (?), 10:51, 28/06/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    > Правильно. Это - религия.

    Карго-культо-секта же.

     
  • 3.61, Аноним (-), 16:24, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >Systemd - это не инит.

    Он уже почти ОС! Скоро собой заменит GNU, будем писать Systemd/Linux.

     
     
  • 4.86, Аноним (-), 20:24, 28/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Будете писать, если не вас разгонят.


     
  • 2.9, Аноним (-), 09:55, 28/06/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    зачем анониму ноги, и без них можно на кнопки нажимать?
     
     
  • 3.11, Аноним (-), 09:59, 28/06/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    Поправлю тебя.
    >Зачем анонимусу на руки ещё одни ноги?
     
  • 3.45, Аноним (-), 14:14, 28/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > зачем анониму ноги, и без них можно на кнопки нажимать?

    Зачем анониму руки, растущие оттуда же, откуда и ноги?


     
  • 1.10, Сергей (??), 09:59, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Никто похоже и не проверял systemd на дыры... Имеем пока первую...
     
     
  • 2.15, gogo (?), 10:08, 28/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Низкопробный троллинг.
     
  • 2.16, Аноним (-), 10:11, 28/06/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Далеко не первая https://www.opennet.ru/opennews/art.shtml?num=45908
     
  • 2.17, Andrey Mitrofanov (?), 10:12, 28/06/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    Слово ремотную не вижу я в твоём тупом посте 24 01 2017 16 48 В systemd 228 ... весь текст скрыт [показать]
     
  • 2.44, Аноним84701 (ok), 14:12, 28/06/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    С разморозкой Добро пожаловать в 2017 https security-tracker debian org trac... весь текст скрыт [показать]
     
     
  • 3.46, Клыкастый (ok), 14:29, 28/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    вот зачем ты человеку сломал жизнь?
     
  • 3.102, Аноним (-), 00:10, 29/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > CVE-2012-1174   ...
    > CVE-2012-1101
    > CVE-2012-0871   ...

    Дыра CVE-2012-1101 настолько ужасна, что у автора списка даже слов не нашлось для её описания? :)

     
  • 1.38, миливольт (?), 13:01, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.

    Ибо, systemd там банально не свеж )

     
  • 1.65, yet another anonymous (?), 17:07, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Давайте попробую объяснить, зачем он притащил резолвер. (Дисклаймер: текст далее не отменяет того, что Л.П. м...к).

    На (достаточно) ранней стадии подъема системы приходит время получить ip по dhcp.
    Поскольку dhcp-клиент всунут в s-d, то прописывать что-то в resolv.conf и задействовать libresolv --- не по фэншую.
    А там и всякие туннели/авторизации/бриджи. И хочется написать в конфиге

    dhcp.mycompany.com

    а не 10.0.64.1, да и DNS запросы-ответы --- вещь асинхронная, если пустить всё через одну (single) точку, то разруливать, казалось бы, легче.


     
  • 1.75, Аноним (-), 18:19, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Да ладно вам, у bind не давно была аналогичная проблема при не правильном резолве. Печально что эти же ошибки не проверили вновь написанном systemd-resolved
     
     
  • 2.78, Аноним (-), 19:28, 28/06/2017 [^] [ответить]     [к модератору]  
  • +/
    а они код копипастят руками, а не тянут из чужой vcs в сборке, потому что на пло... весь текст скрыт [показать]
     
  • 2.89, Andrey Mitrofanov (?), 20:37, 28/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Пока вы этим занимаетесь, проверьте ещё на все ошибки ipsec, ipv6, гонки приза... весь текст скрыт [показать]
     
  • 1.92, Аноним (-), 21:14, 28/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Похоже Лёня не осилил запустить nscd(
     
     
  • 2.108, Аноним (-), 08:02, 29/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Вобшет nscd занимается не только и не столько dns ом A daemon which handles pa... весь текст скрыт [показать]
     
     
  • 3.113, Аноним (-), 12:32, 29/06/2017 [^] [ответить]    [к модератору]  
  • +/
    И что?
     
  • 1.110, Аноним (-), 08:37, 29/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > 2017
    > переполнение буфера

    Продолжаем писать на сишечке, чо. Необучаемость зашкаливает.

     
     
  • 2.115, J.L. (?), 19:45, 29/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >> 2017
    >> переполнение буфера
    > Продолжаем писать на сишечке, чо. Необучаемость зашкаливает.

    два чая этому господину!

     
  • 2.117, iZEN (ok), 12:02, 30/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Удваиваю!

    Величайшее изобретение сишников "Алгоритм маляра Шлемиля" для обработки и конкатенации строк, терминируемых NUL, приплюсую.

     
  • 1.118, Аноним (-), 10:13, 02/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.

    другим подгаживают потихоньку?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor