dnsmasq ist offen

[BessereHälfte]

Hi

Jemand mit einem Plasterouter, wo das nicht drin ist? So wie ich das sehe sind gleich 3 davon remote code execution?

Google Online Security Blog: Behind the Masq: Yet more DNS, and DHCP, vulnerabilities

 

[hominidae]

...Ja, in meinem Mikrotik
Da im Regelfall die dnsmasq Instanz sich hinter dem NAT/Firewall des Plasterouters befindet, ist man zumindest mal vor den bösen Horden im Internet etwas abgeschirmt...es sei denn Einer von Denen kommt zu Besuch auf einen Tee

 

[TCM]

Da im Regelfall die dnsmasq Instanz sich hinter dem NAT/Firewall des Plasterouters befindet, ist man zumindest mal vor den bösen Horden im Internet etwas abgeschirmt...es sei denn Einer von Denen kommt zu Besuch auf einen Tee

Da würde ich nochmal über das Szenario nachdenken, wenn es heißt "allows remote attackers to cause a denial of service (crash) or execute arbitrary code via a crafted DNS response."

 

[dirk11]

Kann mal jemand auf Deutsch erklären, was es mit diesen Lücken auf sich hat, damit man das auch mal versteht?

 

[hominidae]

Da würde ich nochmal über das Szenario nachdenken, wenn es heißt "allows remote attackers to cause a denial of service (crash) or execute arbitrary code via a crafted DNS response."

Hmmm...ja, schon wahr, aber dafür muss man aber dnsmasq auch für die DNS-Abfragen nach draussen einsetzen.
Kenne es vor allem als intelligenten DHCP-Server und lokale Auflösung der Namen...als Resolver/DNS-Client läuft doch meist was anderes, natives aus der SDK des Herstellers, oder?

...und zuvor muss der DNS-Server natürlich infiziert sein um die schädliche Antwort zu übertragen....und der Schadcode muss zum System passen (binaries für CPU und die dort verlinkten bzw. vorhandenen libraries...
Evtl. sind doch eher die "Semi-Profis" betroffen, die DD-WRT oder OpenWRT einsetzen als die User mit Standard-Firmware....

 

[TCM]

Hmmm...ja, schon wahr, aber dafür muss man aber dnsmasq auch für die DNS-Abfragen nach draussen einsetzen.

Das ist der Haupteinsatzzweck, Forwarder nach draußen.

...und zuvor muss der DNS-Server natürlich infiziert sein um die schädliche Antwort zu übertragen

Du denkst zu kompliziert. Der Angreifer muss nur einen eigenen Nameserver laufen haben und in einem Forum ein Bild einbinden, was auf seiner Domain liegt und schon macht dein Resolver eine Anfrage zum Angreifer.

....und der Schadcode muss zum System passen

ARM oder MIPS, viel ist da nicht. Kann man parallel machen mit mehreren Antworten.

 

[dirk11]

Da auf meine Frage keine Antwort kommt, gehe ich mal davon aus, daß hier alle nur "huhh, huhh, eine Sicherheitslücke, eine Sicherheitslücke" schreien, wie aufgescheuchte Hühner umherrennen, aber niemand so wirklich weiß, was er da überhaupt beklagt...

 

[TCM]

Steht doch alles da. Was ist unklar?

Edit: Zusammengefasst: Remote ausnutzbar mit Antworten auf DNS-Anfragen, d.h. du musst dafür keinen Port offen haben und kannst nicht steuern, ob es dich trifft oder nicht. Beliebige Auflösevorgänge deinerseits können es auslösen, auf beliebigen Webseiten, die externen Nutzercontent zulassen.

 

[dirk11]

Steht doch alles da. Was ist unklar?

Alles. Wenn ich einen dnsmasq einsetzen würde, würde er doch nur den eingetragenen DNS-Server zur Befragung anrufen, oder nicht? Wieso sollte er einen anderen befragen?
Und was - außer Wechsel auf eine andere Software oder update des dnsmasq, sofern es das gibt - kann man machen?

 

[TCM]

Guter Punkt. Ich bin grad nicht sicher, ob die DNS-Antwort von einem Forwarder per se saubergeputzt ist und dnsmasq quasi nur vom eigenen Provider angreifbar wäre, weswegen ich angenommen hab, dass die boshafte Antwort durch den Forwarder durch noch Schaden anrichten kann. Im besten Fall kann einen nur der eigene Provider angreifen.

Außer Update oder Wechsel bleibt eigtl. gar nichts, wenn man nicht anfangen will, Domains zu whitelisten.

 

[dirk11]

Eigentlich ist es wohl das Beste, das mit diesem komischen Internet-Ding bleiben zu lassen...

Siehe auch bei Fefe.