Hiljuti on teave tuvastas Dnsmasqi paketis 7 haavatavust, mis ühendab vahemällu salvestatud DNS-lahenduse ja DHCP-serveri, millele määrati koodnimi DNSpooq. Probleems lubavad petturitest DNS-i vahemälurünnakuid või puhvri ületäitumist see võib viia ründaja koodi kaugkäivitamiseni.
Kuigi hiljuti Dnsmasqi ei kasutata enam vaikimisi tavaliste Linuxi distributsioonide lahendajana, seda kasutatakse endiselt Androidis ja spetsiaalsed jaotused nagu OpenWrt ja DD-WRT, samuti paljude tootjate püsivara traadita ruuterite jaoks. Tavalistes jaotustes on dnsmasqi kaudne kasutamine võimalik, näiteks libvirt'i kasutamisel saab seda alustada DNS-teenuse pakkumisega virtuaalsetes masinates või selle saab aktiveerida NetworkManageri konfiguraatori sätete muutmisega.
Kuna traadita ruuteri täiendamise kultuur jätab palju soovida, Teadlased kardavad, et tuvastatud probleemid võivad jääda lahendamata pikka aega ja osaleb ruuterite automatiseeritud rünnakutes, et nende üle kontrolli saada või suunata kasutajad pahatahtlikele saitidele.
Dnsmasqil on umbes 40 ettevõtet, sealhulgas Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE ja Zyxel. Selliste seadmete kasutajaid saab hoiatada, et nad ei kasutaks neile pakutavat tavalist DNS-päringute ümbersuunamisteenust.
Esimene osa haavatavustest avastati Dnsmasqis viitab kaitsele DNS-i vahemälu mürgitusrünnakute eest, põhineb Dan Kaminsky 2008. aastal välja pakutud meetodil.
Tuvastatud probleemid muudavad olemasoleva kaitse ebaefektiivseks ja lubage vahemälus suvalise domeeni IP-aadressi võltsimine. Kaminsky meetod manipuleerib DNS-päringu ID välja tühise suurusega, mis on ainult 16 bitti.
Hosti nime võltsimiseks vajaliku õige identifikaatori leidmiseks saatke lihtsalt umbes 7.000 taotlust ja simuleerige umbes 140.000 XNUMX vale vastust. Rünnak taandub DNS-i lahendajale suure hulga võltsitud IP-ga seotud pakettide saatmisele erinevate DNS-i tehingute identifikaatoritega.
Tuvastatud haavatavused vähendavad 32-bitist entroopia taset eeldatavasti peaks arvama 19 bitti, mis muudab vahemälumürgituse rünnaku üsna realistlikuks. Lisaks võimaldab dnsmasq CNAME-kirjete käsitsemine CNAME-kirjete ahela võltsimist, et tõhusalt võltsida kuni 9 DNS-kirjet korraga.
- CVE-2020-25684: väliste serverite DNS-vastuste töötlemisel päringu ID valideerimise puudumine koos IP-aadressi ja pordinumbriga. See käitumine ei ühildu RFC-5452-ga, mis nõuab vastuse sobitamisel täiendavaid päringu atribuute.
- CVE-2020-25686: Sama nimega ootel olevate taotluste valideerimise puudumine, mis võimaldab sünnipäeva meetodi kasutamist vastuse võltsimiseks vajalike katsete arvu märkimisväärseks vähendamiseks. Koos CVE-2020-25684 haavatavusega võib see funktsioon rünnaku keerukust oluliselt vähendada.
- CVE-2020-25685: ebausaldusväärse CRC32 räsialgoritmi kasutamine vastuste kontrollimisel juhul, kui kompileerimine toimub ilma DNSSECita (SHA-1 kasutatakse koos DNSSEC-iga). Haavatavust saab kasutada katsete arvu märkimisväärseks vähendamiseks, võimaldades teil kasutada domeene, millel on sama CRC32 räsi kui sihtdomeenil.
- Teine probleemide kogum (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 ja CVE-2020-25687) on põhjustatud vigadest, mis põhjustavad teatud väliste andmete töötlemisel puhvri ülevoolu.
- Haavatavuste CVE-2020-25681 ja CVE-2020-25682 puhul on võimalik luua ekspluateerimisi, mis võivad viia süsteemi kooditäitmiseni.
Lõpuks mainitakse seda haavatavusi käsitletakse Dnsmasqi värskenduses 2.83 ja lahendusena on soovitatav keelata DNSSEC ja päringute vahemälu käsurea suvandite abil.
allikas: https://kb.cert.org