| |
| |
| 3.10, Аноним (10), 18:28, 12/05/2026 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Kea.
Плюс для дома это редко нужно. А вот dns сервер с поддержкой doh, резолвера и кеша нужен всегда. Вечно дергать glibc - глупая затея.
| | |
| |
| 4.22, Аноним83 (?), 19:37, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Kea тяжёловата и сложновата.
Мне DoH/DoT даром не нужны, я порезал все известные IP этих сервисов дома, чтобы туда не лазали всякие андройды в обход домашнего unbound с его чёрными списками.
Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound?
| | |
|
| 3.39, wd (?), 20:20, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
а зачем его раздавать? там же slaac есть, очень даже работает
| | |
| |
| 4.40, Аноним83 (?), 20:29, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Не точно выразился: чем IPv6 адреса раздавать?
Стоит проблема контроля того какие хосты в сети какие IP адреса юзают.
Для IPv4 я просто статику по дхцп выдаю, а с IPv6 они сами пачками адреса гребут по RA.
| | |
|
|
| 2.4, Аноним (4), 18:08, 12/05/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
он разжирел с годами. Я может не нормальный, у меня dnsmasq
| | |
| |
| 3.24, Аноним83 (?), 19:40, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Да, это точно.
Заглянул вчера в доку, после примерно 5 лет не заглядывания - а там столько всякого наросло.
С другой стороны там до сих пор не сделали фильтр для IPv6 записей, ктогда как для IPv4 есть - типа не по феншую, так и приходится через ж. фильтровать некоторые домены от IPv6.
dnsmasq не имеет рекурсера, это существенный недостаток.
А ещё там внутри начинка мне не нравится - как раз в декабре там лазал, смотрел на DHCP часть, чувствуется что писали люди из 90х.
| | |
|
| |
| 3.28, Аноним83 (?), 19:46, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
У роутеров нынче столько лишней памяти что unbound там прекрасно живёт.
Он в общем то и на 64мб озу уже жить может, в OpenWRT или самом unbound есть пресет под минимальное потребление памяти как раз.
Я его как раз юзал в мобильных роутерах с OpenWRT, там правда есть нюансы настройки, я их у себя в вики описывал.
| | |
|
|
| 1.2, Аноним83 (?), 18:07, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
На самом деле там практически все косяки были с DNSSEC, ещё пара с DHCPv6 и один с DNS.
На практике от этого толку около нуля, учитывая что DHCPv6 только в локалке и обычно его не юзают, а DNSSEC вендоры вроде не включают, ибо им не нужны багрепорты на пустом месте.
Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось.
Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю.
Я уже почти все сервисы поубирал в chroot, и буду теперь как мяв с её томоей - смотреть за цирком со стороны :)
| | |
| |
| 2.14, Аноним (14), 19:04, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> свести ущерб от всех атак примерно к нулю
Чудны дела твои... Что, от отравления кэша DNS chroot помогает? Вот это нанотехнологии!
| | |
| |
| 3.25, Аноним83 (?), 19:41, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
А отравление кеша DNS вообще малозначительная проблема, с около нулевым ущербом.
| | |
|
| 2.16, Аноним (10), 19:08, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось.
Ну, значит можно не фиксить rcешки
> chroot
После недавних copy fuck и dirty fag? Шутник.
> смотреть за цирком со стороны :)
Шею свернешь) Твой чрут в пять секунд разберут и пойдут плясать вокруг тебя.
> Я уже почти все сервисы поубирал в chroot
Systemd с namespace и seccompo попробуй.
| | |
| |
| 3.26, Аноним83 (?), 19:43, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> После недавних copy fuck и dirty fag? Шутник.
Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые.
И конфиг.
Что ты с этим сделаешь то?
Запишешь в /tmp - а от туда не запускается, ибо noexec+nosuid.
| | |
|
| 2.20, Аноним (20), 19:23, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю.
Во-первых, из chroot-а можно отностельно тривиально выйти. Во-вторых, chroot вам абсолютно никак в данном вопросе не поможет. В-третьих, systemd изобретён.
| | |
| |
| 3.27, Аноним83 (?), 19:44, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Как вы от туда собрались выходить, когда там ничего нет и писать почти некуда?
| | |
| 3.36, Аноним (36), 20:11, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>из chroot-а можно отностельно тривиально выйти
Правда что-ли? Поделись сакральным знанием. Расскажи как "тривиально" выходят из пустого чрута, в котором кроме необходимых либ и единственного исполняемого файла больше ни чего нет и отсутствуют права записи ни в один каталог.
| | |
|
|
| 1.6, Дырик (?), 18:15, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
There has been something of a revolution in AI-based security research,
and I've spent a lot of time over the last couple of months dealing with
bug reports, weeding duplicates (so many duplicates!) and triaging bugs
into those which need vendor pre-disclosure and those which it's better
to make public and fix immediately.
…
The tsunami of AI-generated bug reports shows no signs of stopping, so
it is likely that this process will have to be repeated again soon.
| | |
| 1.7, ruroruro (ok), 18:21, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Уважаемые админы OpenNET, вы можете в новостях про уязвимости сразу писать - это Local Privilege Escalation (LPE) или Remote Code Execution (RCE)?
Потому что для подовляющего большинства людей LPE и RCE имеют абсолютно разные уровни важности. А фразы вроде "система загрузки по сети" и "позволяющих выполнить код с правами root" сразу создают впечатление будто это RCE.
Кликбейт - это конечно хорошо, но очень не приятно, что после каждой подобной новости приходится самому лазить в первоисточники и проверять есть ли там RCE или это очередной LPE.
Заранее спасибо.
| | |
| |
| |
| 3.11, ruroruro (ok), 18:34, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> RCE
[citation needed]? На странице "Vulnerability Note VU#471747", на которую ссылается пост сказано только про LPE: "A local attacker may execute arbitrary code as root via DHCPv6 manipulation", "allows local attackers to execute arbitrary code with root privileges via a crafted DHCPv6 packet".
Страничка самого CVE-2026-4892 на сайте NVD тоже классифицировано как "Attack Vector: Local".
> Cache poisoning, infoleak, dos
Остальное - вроде как верно.
| | |
| |
| 4.12, Дырик (?), 18:46, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Да, действительно. Звучит странно в контексте DHCPv6-пакетов, но видимо так.
Вот полное письмо: https://marc.info/?l=oss-security&m=177852314119822&w=2
>[оверквотинг удален]
>
> Cache Poisoning / Redirection (CVE-2026-2291, CVE-2026-4893) Attackers
> may overwrite cache entries or manipulate response routing, enabling the
> silent redirection of users to malicious domains.
>
> Information Disclosure (CVE-2026-4891, CVE-2026-4893) Internal memory
> and network information may be inadvertently exposed.
>
> Local Privilege Escalation (CVE-2026-4892) A local attacker may execute
> arbitrary code as root via DHCPv6 manipulation.
| | |
| |
| 5.15, Аноним (36), 19:07, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
>Local Privilege Escalation (CVE-2026-4892) A local attacker may execute
> arbitrary code as root via DHCPv6 manipulation.
А далее прочитать не судьба?
"The likely attack vector is the local network, where an attacker can craft and send a DHCPv6 packet to the vulnerable server"
Слово "local" в данном CVE употребляется в значении LAN = local network. Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE
| | |
| |
| 6.19, ruroruro (ok), 19:21, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE
Мне казалось, что DHCP нельзя (ну или бессмысленно) "выставить наружу", потому что DHCPv6 и прочие multicast пакеты не пересылаются роутерами дальше локалки.
Если действительно достаточно локальной сети, а не "аккаунт на машине", то получается что CVSS не правильный (должно быть Attack Vector: Adjacent, а не Local). Ну или все-таки есть ещё какая-то причина, почему они решили пометить эту уязвимость именно как AV:L. Возможно, там что-то ещё мешает использованию "по проводу". :shrug:
| | |
| 6.33, Дырик (?), 20:07, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Откуда вы взяли эту цитату? Я перед ответом зашел в калькулятор CVSS, чтобы освежить знания, думал, забыл чего, но нет, local это local machine.
| | |
| 6.35, Дырик (?), 20:09, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ваша цитата Generated by OpenCVE AI on May 11, 2026 at 20:37 UTC., не соответствует действительности.
| | |
|
|
|
|
| 2.13, Аноним (13), 18:49, 12/05/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Еще было бы классно указывать сколько лет ̶с̶у̶щ̶е̶с̶т̶в̶о̶в̶а̶л̶ ̶б̶е̶к̶д̶о̶р̶ жила дырень.
Это конечно может быть сложным, так что я начну с себя))
CVE-2026-4892 - 13 лет
github.com/imp/dnsmasq/blame/d42d4706bbcce3b5a40ad778a5a356a997db6b34/src/helper.c#L258
CVE-2026-2291 - 15 лет
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnsmasq.h#L489
CVE-2026-4893 - 5 лет
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/forward.c#L727
CVE-2026-4891 - 13 лет
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L548
CVE-2026-4890 - 13 лет (в том же dnssec.c что и предыдущая)
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L1349
CVE-2026-5172 - всего год, свежачок!
github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/rfc1035.c#L946
В общем результаты не утешительные, проект состоящий на 94.2% из дыpяшku внезапно! отказался дыpяßым.
Какая неожиданность.
| | |
| |
| 3.30, Аноним83 (?), 19:52, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Ага, и всё это время оно работало на миллионах инсталляций и никому не мешало :)
Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править.
Я планировал его заменить на собственный DHCP4+DHCP6+RA сервер на C+LUA.
DHCP4 у меня уже в принципе работает, там только на луа осталось расписать всю логику.
DHCP6 примерно так же, но я не тестил работу, просто разбирает/собирает пакеты, в логику даже не начинал смотреть.
RA даже не брался.
А ещё вебгуй бы и прочие плюхи.
Пора реально ИИ припрягать какакодить :)
| | |
| |
| 4.37, Аноним (37), 20:12, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Ага, и всё это время оно работало на миллионах инсталляций
И?
> и никому не мешало :)
Конечно оно никому не мешало ломать чужие компы.
Или у вас есть доказательство, что никто посторонний никуда не ходил?
> Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править.
Там всего 35к строк кода.
Просто если дом лепить из овна и палок, то качество получится соответствующее.
| | |
|
|
|
| 1.8, Дырик (?), 18:22, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Это только самая вершина айсберга. Кто приберёг все самое интересное для pwn2own, c 14 мая начнут сдавать баги, а далее просто начнут расчехлять всё ;)
Серьезные уязвимости, на поиск которых требовались месяцы работы топовых специалистов, теперь может найти средненький специалист за дни-недели.
| | |
| |
| 2.32, Аноним83 (?), 20:00, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Ну расчехлят, ну обновимся может быть, когда руки дойдут и что дальше?
Уже даже в венде как то так научились делать чтобы черви не самоходили, а уж там то всегда была гомогенная среда, самая сладкая для такого.
Вроде больше 5 лет прошло с последнего массового выгула самохода, если ничего не путают, а то и все 23 - там то уж точно самоходность была в полный рост :)
Линукса и прочие - их всегда было мало и они все на друг друга не похожи - умучаешься самохода писать ради полутора калек.
| | |
|
| 1.23, Аноним (23), 19:37, 12/05/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6
то есть если в твоей квартирной сети есть телефон с максом то он угонит твой роутер с опенврт и установит на него бекдор от гебухи.
| | |
| |
| 2.31, Аноним83 (?), 19:54, 12/05/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Увы но нет.
В андройдах нет DHCP6 поддержки вообще, только RA.
Удивительно что в RA реализации dnsmasq ничего не нашлось :)
| | |
| |
| 3.38, Аноним (-), 20:14, 12/05/2026 [^] [^^] [^^^] [ответить]
| +/– |
В андроиде приложуха не может отправить UDP пакет? Там это, в браузере, QUIC/HTTP3 реализовано без поддержки со стороны системы.
| | |
|
|
|
