Dnsmasq-da topilgan zaifliklar DNS keshidagi tarkibni buzishga imkon berdi

Yaqinda, haqida ma'lumot Dnsmasq paketidagi 7 ta zaiflikni aniqladi, bu DNSpooq kod nomi berilgan keshlangan DNS echimini va DHCP serverini birlashtiradi. Muammolar noto'g'ri DNS-kesh hujumlariga yoki buferning to'lib toshishiga imkon beradi bu tajovuzkor kodining uzoqdan bajarilishiga olib kelishi mumkin.

Yaqinda bo'lsa ham Dnsmasq endi odatdagi Linux tarqatishlarida hal qiluvchi sifatida ishlatilmaydi, u hali ham Android-da ishlatiladi va OpenWrt va DD-WRT kabi ixtisoslashtirilgan tarqatmalar, shuningdek ko'plab ishlab chiqaruvchilarning simsiz yo'riqchilari uchun dasturiy ta'minot. Oddiy tarqatishlarda dnsmasq-dan yashirin foydalanish mumkin, masalan, libvirt-dan foydalanganda, virtual mashinalarda DNS xizmatini ko'rsatishni boshlashi yoki NetworkManager konfiguratoridagi sozlamalarni o'zgartirish orqali faollashtirilishi mumkin.

Simsiz routerni yangilash madaniyati juda ko'p narsalarni talab qiladiganligi sababli, tadqiqotchilar aniqlangan muammolar hal etilmasligi mumkinligidan qo'rqishadi uzoq vaqt davomida va ular yo'riqchilar ustidan nazoratni qo'lga kiritish yoki foydalanuvchilarni zararli saytlarga yo'naltirish uchun avtomatlashtirilgan hujumlarda qatnashadilar.

Dnsmasq asosida 40 ga yaqin kompaniya mavjudCisco, Comcast, Netgear, Ubiquiti, Siemens, Arista, Technicolor, Aruba, Wind River, Asus, AT&T, D-Link, Huawei, Juniper, Motorola, Synology, Xiaomi, ZTE va Zyxel. Bunday qurilmalardan foydalanuvchilarga ularga taqdim etilgan doimiy DNS-so'rovlarni qayta yo'naltirish xizmatidan foydalanmaslik haqida ogohlantirish mumkin.

Zaif tomonlarning birinchi qismi Dnsmasqda topilgan DNS keshidan zaharlanish xurujlaridan himoyani anglatadi, Dan Kaminskiy tomonidan 2008 yilda taklif qilingan uslub asosida.

Aniqlangan muammolar mavjud himoyani samarasiz qiladi va keshdagi o'zboshimchalik bilan domenning IP-manzilini soxtalashtirishga ruxsat bering. Kaminskiy usuli DNS so'rovi identifikatori maydonining ahamiyatsiz hajmini boshqaradi, bu atigi 16 bit.

Xost nomini aldash uchun zarur bo'lgan aniq identifikatorni topish uchun 7.000 ga yaqin so'rov yuboring va 140.000 ga yaqin soxta javoblarni taqlid qiling. Hujum ko'p sonli soxta IP-bog'langan paketlarni DNS echimiga yuborish uchun pastga tushadi turli xil DNS operatsiyalari identifikatorlari bilan.

Aniqlangan zaifliklar 32-bitli entropiya darajasini pasaytiradi kutilayotgan 19 bitni taxmin qilish kerak, bu kesh bilan zaharlanish hujumini juda aniq qiladi. Bundan tashqari, dnsmasq-ning CNAME yozuvlari bilan ishlashi, bir vaqtning o'zida 9 ta DNS yozuvlarini samarali ravishda soxtalashtirish uchun CNAME yozuvlari zanjirini buzishga imkon beradi.

  • CVE-2020-25684: tashqi serverlardan DNS javoblarini qayta ishlashda IP-manzil va port raqami bilan birgalikda so'rov identifikatorini tasdiqlashning etishmasligi. Ushbu xatti-harakatlar RFC-5452 bilan mos kelmaydi, bu javobga mos kelganda qo'shimcha so'rov atributlaridan foydalanishni talab qiladi.
  • CVE-2020-25686: Xuddi shu nom bilan kutilayotgan so'rovlarni tekshirib bo'lmaydiganligi, tug'ilgan kunning usulidan foydalanib, javob berish uchun zarur bo'lgan urinishlar sonini kamaytirishga imkon beradi. CVE-2020-25684 zaifligi bilan birgalikda ushbu xususiyat hujumning murakkabligini sezilarli darajada kamaytirishi mumkin.
  • CVE-2020-25685: DNSSEC holda kompilyatsiya qilingan taqdirda, javoblarni tekshirishda ishonchsiz CRC32 xeshlash algoritmidan foydalanish (SHA-1 DNSSEC bilan ishlatiladi). Ushbu zaiflik maqsadli domen bilan bir xil CRC32 xashiga ega bo'lgan domenlardan foydalanishga ruxsat berish orqali urinishlar sonini sezilarli darajada kamaytirish uchun ishlatilishi mumkin.
  • Muammolarning ikkinchi to'plami (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683 va CVE-2020-25687) ba'zi tashqi ma'lumotlarga ishlov berishda bufer toshib ketishiga olib keladigan xatolardan kelib chiqadi.
  • CVE-2020-25681 va CVE-2020-25682 zaifliklari uchun tizimda kod bajarilishiga olib kelishi mumkin bo'lgan ekspluatatsiyalar yaratish mumkin.

Va nihoyat, bu haqida aytib o'tildi zaifliklar Dnsmasq 2.83 yangilanishida ko'rib chiqilgan va vaqtinchalik echim sifatida DNSSEC-ni o'chirish va buyruq satri parametrlari yordamida keshlashni so'rash tavsiya etiladi.

Manba: https://kb.cert.org


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.