D'Vulnerabilitéiten, déi zu Dnsmasq fonnt goufen, erlaabt et Inhalt am DNS Cache ze spoofen

Informatiounen iwwer de identifizéiert 7 Schwächen am Dnsmasq Package, deen e cache DNS Resolver an en DHCP Server kombinéiert, deen dem Codename DNSpooq zougewisen gouf. De Problems erlaben schiedlech DNS Cache Attacken oder Puffer Iwwerflëss dat kéint zu enger Remote-Ausféierung vum Code vum Ugräifer féieren.

Och wann viru kuerzem Dnsmasq gëtt net méi als Standard als Léisungsmëttel a regelméissege Linux Verdeelunge benotzt, et gëtt nach ëmmer an Android benotzt a spezialiséiert Distributiounen wéi OpenWrt an DD-WRT, souwéi Firmware fir drahtlose Router vu ville Produzenten. An normalen Distributiounen ass d'implizit Benotzung vun dnsmasq méiglech, zum Beispill wann Dir libvirt benotzt, kann et ugefaang ginn DNS-Service op virtuelle Maschinnen ze bidden oder et kann aktivéiert ginn andeems d'Astellungen am NetworkManager Konfigurator geännert ginn.

Zënter der Wireless Router Upgrade Kultur léisst vill ze wënschen iwwer, Fuerscher fäerten identifizéiert Problemer kënne ongeléist bleiwen fir eng laang Zäit a wäert an automatiséiert Attacken op Router involvéiert sinn fir Kontroll iwwer hinnen ze kréien oder d'Benotzer ze verleeden op béisaarteg Säiten.

Et gi ongeféier 40 Firmen baséiert op Dnsmasq, abegraff Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE, an Zyxel. D'Benotzer vun esou Geräter kënne gewarnt ginn net de reguläre DNS-Ufro-Viruleedungsdéngscht ze benotzen.

Den éischten Deel vun de Schwachlëchkeet zu Dnsmasq entdeckt bezitt sech op de Schutz géint DNS Cache Vergëftungsattacken, baséiert op enger Method déi am Joer 2008 vum Dan Kaminsky proposéiert gouf.

Identifizéiert Themen maachen existente Schutz net effektiv an erlaabt d'IP Adress vun engem arbiträren Domain am Cache ze spoofen. D'Kaminsky Method manipuléiert déi vernoléissegbar Gréisst vum DNS Query ID Feld, dat ass nëmme 16 Bits.

Fir de richtegen Identifizéierer ze fannen deen néideg ass fir den Hostnumm ze spoofen, schéckt just ongeféier 7.000 Ufroen a simuléiert ongeféier 140.000 falsch Äntwerten. D'Attack këmmert sech drëm eng grouss Zuel vu gefälschten IP-gebonne Päckchen un den DNS Resolver ze schécken mat verschiddenen DNS Transaktiounsidentifizéierer.

Identifizéiert Schwachstelle reduzéieren 32-Bit Entropie Niveau erwaart 19 Bits ze roden, wat e Cache Vergëftungsattack ganz realistesch mécht. Zousätzlech erlaabt d'Dnsmasq d'Handhabung vu CNAME Records et der Kette vu CNAME Records ze spoofen fir effizient bis zu 9 DNS Records gläichzäiteg ze spoofen.

  • CVE-2020-25684 Fotoen Mangel u Validatioun vun Ufro ID a Kombinatioun mat IP Adress a Portnummer beim Veraarbechtung vun DNS Äntwerte vun externen Serveren. Dëst Verhalen ass net kompatibel mat RFC-5452, wat zousätzlech Ufroattributer brauch fir ze benotzen wann Dir eng Äntwert passt.
  • CVE-2020-25686 Fotoen Mangel u Validatioun vu waarden Ufroen mam selwechten Numm, wouduerch d'Benotzung vun der Gebuertsdagsmethod d'Zuel vun de Versich, déi néideg sinn, fir eng Äntwert ze schmieren, wesentlech reduzéiert. A Kombinatioun mat der CVE-2020-25684 Schwachstelle kann dës Feature d'Komplexitéit vum Attack wesentlech reduzéieren.
  • CVE-2020-25685 Fotoen Benotzung vun onzouverlässegen CRC32 Hashing Algorithmus beim Äntwerte verifizéieren, am Fall vu Kompiléierung ouni DNSSEC (SHA-1 gëtt mat DNSSEC benotzt). D'Vulnerabilitéit konnt benotzt ginn fir d'Zuel vun de Versich wesentlech ze reduzéieren andeems Dir Domainer ausnotzt déi déiselwecht CRC32 Hash wéi d'Zildomän hunn.
  • Den zweete Satz vu Probleemer (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, an CVE-2020-25687) gëtt duerch Feeler verursaacht, déi Puffer Iwwerlaf verursaache bei der Veraarbechtung vu gewëssen externen Daten.
  • Fir Schwächen CVE-2020-25681 a CVE-2020-25682 ass et méiglech Exploiten ze kreéieren déi zu Code-Exekutioun am System féiere kënnen.

Endlech gëtt et erwähnt datt Schwachstelle ginn an Dnsmasq 2.83 Update behandelt an als Léisung ass et recommandéiert DNSSEC auszeschalten a Cache ze froen mat Kommandozeilenoptiounen.

Source: https://kb.cert.org


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.