Die kwesbaarhede wat in Dnsmasq gevind is, het toegelaat om inhoud in die DNS-kas te bedrieg

Donkerkrizt | | Opgedateer op | Nuus

Geen kommentaar nie

Inligting oor die het 7 kwesbaarhede in die Dnsmasq-pakket geïdentifiseer, wat 'n kas-DNS-resolver en 'n DHCP-bediener kombineer, wat die kodenaam DNSpooq gekry het. Die probleems laat skelm DNS-kasaanvalle of bufferoorvloei toe dit kan lei tot die uitvoering van die kode van 'n aanvaller op afstand.

Al is dit onlangs Dnsmasq word nie meer standaard gebruik as oplosser in gewone Linux-verspreidings nie, maar word steeds in Android gebruik en gespesialiseerde verspreidings soos OpenWrt en DD-WRT, sowel as firmware vir draadlose routers van baie vervaardigers. In normale verspreidings is die implisiete gebruik van dnsmasq moontlik, byvoorbeeld wanneer u libvirt gebruik, kan dit begin om DNS-dienste op virtuele masjiene te lewer, of dit kan geaktiveer word deur die instellings in die NetworkManager-konfigurator te verander.

Aangesien die opgraderingskultuur van die draadlose router veel te wense oorlaat, Navorsers vrees dat geïdentifiseerde probleme onopgelos kan bly vir 'n lang tyd en sal betrokke wees by outomatiese aanvalle op routers om beheer daaroor te kry of om gebruikers na kwaadwillige webwerwe te lei.

Daar is ongeveer 40 maatskappye gebaseer op Dnsmasq, insluitend Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE en Zyxel. Gebruikers van sulke toestelle kan gewaarsku word om nie die gebruiklike DNS-aanstuurdiens te gebruik nie.

Die eerste deel van die kwesbaarhede in Dnsmasq ontdek verwys na beskerming teen aanvalle van DNS-kasvergiftiging, gebaseer op 'n metode wat in 2008 deur Dan Kaminsky voorgestel is.

Geïdentifiseerde kwessies maak bestaande beskerming ondoeltreffend en laat die IP-adres van 'n arbitrêre domein in die geheue spoof. Kaminsky se metode manipuleer die weglaatbare grootte van die DNS-navraag-ID-veld, wat slegs 16 bis is.

Stuur net 7.000 140.000 versoeke en simuleer ongeveer XNUMX XNUMX valse antwoorde om die regte identifiseerder te vind wat nodig is om die gasheernaam te bedrieg. Die aanval kom daarop neer dat 'n groot aantal vals IP-gebonde pakkies na die DNS-resolver gestuur word met verskillende DNS-transaksie-identifiseerders.

Geïdentifiseerde kwesbaarhede verminder die 32-bis entropie-vlak sal na verwagting 19 stukkies moet raai, wat 'n aanval op die kasvergiftiging redelik realisties maak. Verder kan die hantering van CNAME-rekords deur dnsmasq dit in staat stel om die ketting van CNAME-rekords te bedrieg om tot 9 DNS-rekords tegelykertyd te bedrieg.

  • CVE-2020-25684: gebrek aan validering van versoek-ID in kombinasie met IP-adres en poortnommer wanneer DNS-antwoorde van eksterne bedieners verwerk word. Hierdie gedrag is nie versoenbaar met RFC-5452 nie, wat vereis dat addisionele versoekkenmerke gebruik moet word wanneer 'n antwoord ooreenstem.
  • CVE-2020-25686: Gebrek aan validering van hangende versoeke met dieselfde naam, waardeur die gebruik van die verjaarsdagmetode die aantal pogings wat nodig is om 'n antwoord te smee, aansienlik verminder. In kombinasie met die kwesbaarheid CVE-2020-25684, kan hierdie funksie die kompleksiteit van die aanval aansienlik verminder.
  • CVE-2020-25685: die gebruik van onbetroubare CRC32-hashingalgoritme by die verifiëring van antwoorde, in geval van samestelling sonder DNSSEC (SHA-1 word saam met DNSSEC gebruik). Die kwesbaarheid kan gebruik word om die aantal pogings aansienlik te verminder deur u in staat te stel om domeine met dieselfde CRC32-hash as die teikendomein te benut.
  • Die tweede stel probleme (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 en CVE-2020-25687) word veroorsaak deur foute wat bufferoorloop veroorsaak wanneer sekere eksterne data verwerk word.
  • Vir kwesbaarhede CVE-2020-25681 en CVE-2020-25682 is dit moontlik om gebruik te maak wat kan lei tot die uitvoering van die kode op die stelsel.

Laastens word genoem dat kwesbaarhede word aangespreek in Dnsmasq 2.83-opdatering en as 'n oplossing word dit aanbeveel om DNSSEC en caching van navrae uit te skakel met behulp van opdragreëlopsies.

Fuente: https://kb.cert.org


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.