Jilicsanaanta laga helay Dnsmasq ayaa loo oggol yahay in lagu faafiyo waxyaabaha ku jira keydka DNS

Dhawaan, macluumaad ku saabsan aqoonsaday 7 nuglaansho ku jira xirmada Dnsmasq, kaas oo isku daraya xalliyaha DNS kaydiyaha ah iyo serverka DHCP, kuwaas oo loo qoondeeyey magaca 'nambar' DNSpooq. Dhibaatadas u oggolow weerarada kaydka khayaanada DNS ama qulqulaya qulqulaya taasi waxay u horseedi kartaa dil toogasho ah koodhka qofka wax weerara.

Inkastoo dhawaan Dnsmasq mar dambe looma isticmaalo asal ahaan sidii xallinta qeybinta Linux caadiga ah, wali waxaa looga isticmaalaa Android iyo qaybinta khaaska ah sida OpenWrt iyo DD-WRT, iyo sidoo kale qalabka loo yaqaan 'router wireless' oo laga helo soo saarayaal badan. Qeybinta caadiga ah, isticmaalka aan qummaneyn ee dnsmasq waa macquul, tusaale ahaan markaad isticmaaleyso libvirt, waa la bilaabi karaa in lagu bixiyo adeegga DNS ee mashiinnada farsamada ama waa la dhaqaajin karaa iyadoo la beddelayo goobaha ku jira qaabeeyaha NetworkManager.

Maaddaama dhaqanka cusbooneysiinta router wireless uu ka tago waxyaabo badan oo la doonayo, Baarayaasha ayaa ka baqaya in dhibaatooyinka la aqoonsaday ay yihiin kuwa aan weli la xallin muddo dheer oo ku lug yeelan doona weerarada otomaatiga ah ee router-yada si aad uga adkaato xakamaynta iyaga ama u weeciso isticmaaleyaasha bogagga xumaanta xun.

Waxaa jira ku dhowaad 40 shirkadood oo ku saleysan Dnsmasq, oo ay ku jiraan Cisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE, iyo Zyxel. Isticmaalayaasha aaladaha noocaas ah waxaa looga digayaa inaysan isticmaalin adeegga gudbinta weydiinta DNS ee caadiga ah ee lagu bixiyo iyaga.

Qaybta koowaad ee dayacanka laga helay Dnsmasq waxaa loola jeedaa kahortaga weerarada sumeynta DNS khasnado, iyadoo lagu saleynayo qaab uu soo jeediyay 2008 Dan Kaminsky.

Arrimaha la aqoonsaday waxay ka dhigayaan ilaalinta jirta mid aan waxtar lahayn oo u oggolow isdabamarinta cinwaanka IP-ga ee goob aan macquul ahayn oo ku taal keydka. Habka Kaminsky wuxuu wax ka qabtaa cabirka la dayacin karo ee goobta weydiinta Aqoonsiga DNS, taas oo ah kaliya 16 jajab.

Si aad u hesho aqoonsi sax ah oo loo baahan yahay in lagu buuxiyo magaca martida, kaliya dir qiyaastii 7.000 codsi iskuna ekeysii ilaa 140.000 jawaabo been ah. Weerarku wuxuu hoos ugu dhacayaa inuu u diro tiro badan oo baakado IP-ku xiran oo been abuur ah xalliyaha DNS leh aqoonsiyo kala geddisan oo kala duwan oo DNS ah.

Jilicsanaanta la aqoonsaday waxay yareyneysaa heerka entroppy 32-bit waxaa la filayaa inuu u baahdo inuu qiyaaso 19 qaybood, taas oo ka dhigaysa weerarka sunta kaydka mid macquul ah. Intaa waxaa sii dheer, maaraynta dnsmasq ee diiwaanka CNAME waxay u oggolaaneysaa inay ku dhufato silsiladda rikoodhada CNAME si ay si hufan ugu dhufato ilaa 9 diiwaanka DNS markiiba.

  • XAFLAD-2020-25684: la'aanta ansaxinta aqoonsiga codsiga oo ay weheliso cinwaanka IP-ga iyo lambarka dekedda marka la shaqeynayo jawaabaha DNS ee ka imanaya server-yada dibadda. Dabeecadani waa mid aan la jaan qaadi karin RFC-5452, oo u baahan sifooyin codsi dheeri ah oo loo isticmaalo marka la jaan qaadayo jawaabta.
  • XAFLAD-2020-25686: Ansixin la'aanta codsiyada la sugayo ee isla magaca leh, taasoo u oggolaaneysa adeegsiga habka dhalashada in ay si weyn u yareyso tirada isku dayga loo baahan yahay in lagu been abuuro jawaab. Marka lagu daro u nuglaanta CVE-2020-25684, muuqaalkan wuxuu si weyn u yareyn karaa kakanaanta weerarka.
  • XAFLAD-2020-25685: isticmaalka CRC32 hashing algorithm marka la xaqiijinayo jawaabaha, haddii ay dhacdo in la isu geeyo DNSSEC (SHA-1 waxaa loo isticmaalaa DNSSEC). Jilicsanaanta waxaa loo isticmaali karaa in si weyn loo yareeyo tirada isku dayga iyadoo laguu oggolaanayo inaad ka faa'iideysato meelihii leh isku xashiish isku mid ah sida loo bartilmaameedsado.
  • Dhibaatada labaad ee dhibaatooyinka (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, iyo CVE-2020-25687) waxaa sababa khaladaad sababa qulqulo qulqulaya marka laga shaqeynayo xogta dibadda qaarkood.
  • Wixii nuglaanta CVE-2020-25681 iyo CVE-2020-25682, waxaa suurtagal ah in la abuuro ka faa'iideysiyo u horseedi kara koodh fulinta nidaamka.

Ugu dambeyntiina waxaa lagu sheegay in dayacaadyada waxaa lagu xalliyaa cusboonaysiinta Dnsmasq 2.83 iyo shaqo ahaan, waxaa lagugula talinayaa inaad joojiso DNSSEC iyo su'aasha xajinta adoo adeegsanaya xulashada xariiqda taliska.

source: https://kb.cert.org


Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.