URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 119047
[ Назад ]
Исходное сообщение
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено opennews , 20-Ноя-19 10:58 
В DNS-сервере Unbound  выявлена уязвимость (CVE-2019-18934), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем  ipsec ("--enable-ipsecmod") и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске Unbound 1.9.5...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51900

Содержание
Сообщения в этом обсуждении
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 10:58 
В OpenWRT проявляется?
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Fyjy , 20-Ноя-19 11:03 
Тут есть несколько вопросов:

1. Зачем ты притащил этот дуршлаг себе на роутер?
2. Зачем ты выставляешь 53/udp и 53/tcp своего роутера голой дупой наружу?

Если сможешь ответить на эти два вопроса, то обсудим все остальное.

"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 11:10 
А, я его с dnsmasq перепутал, где тоже когда-то уязвимость была. Всё нормально.
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 11:12 
1. Расскажи про альтернативы
2. Для эксплуатации уязвимости не нужен 53 порт наружу.
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Fyjy , 20-Ноя-19 15:22 
Тебе нужен резолвер, а не DNS-сервер. Есть прекрасный dnscrypt-proxy, который есть в репах OpenWRT
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Анон1999 , 21-Ноя-19 08:18 
Unbound и есть резолвер, умник
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 12:37 
почему openwrt - дуршлаг?
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 11:16 
а кто в курсе, что это вообще за неведомая е6анина "ipsec module" и зачем оно ненужно? Какой еще нахрен ipsec - в dns-ресолвере?

"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено ryoken , 20-Ноя-19 11:38 
Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено fantom , 20-Ноя-19 11:49 
Не путайте теплое с мягким.
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 13:16 
Значит, Вы просто не знаете, что такое IPsec.
OpenVPN имеет только часть функциональности, которая есть IPsec. C IPsec Вы можете, например, установить правило для ssh работать в Ipsec transport mode, тем самым добавив ещё один слой шифрования и избавив себя (в некоторой степени) от рисков связанных с уязвимостями в ssh.
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 17:25 
Да и в ОпенВПН тоже так всегда было - тоже канал умеет шифровать.
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 21-Ноя-19 10:35 
> Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.

Не всем хватает скорости модема.

"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Рома , 20-Ноя-19 11:58 
Можно хранить открытый ключ шлюза в DNS, это удобно когда нет постоянного IP-адреса или он меняется как в AWS или Azure. Плюс к этому Unbound поддерживает DNSSEC, так что ответ о ключе и новом IP придет подтвержденным.
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Нанобот , 20-Ноя-19 12:29 
возможно речь идёт об RFC4025 (A Method for Storing IPsec Keying Material in DNS)
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено xm , 20-Ноя-19 11:51 
Ну такая специфичная штука которая мало кому может понадобиться, да и модуль этот выключен при сборке по умолчанию везде.
https://tools.ietf.org/html/rfc4025
"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 20-Ноя-19 11:56 
> Ну такая специфичная штука которая мало кому может понадобиться

спасибо, действительно - эталонное ненужно в ненужно для поддержки ненужно.

(в какой реализации ipsec есть какие-то "public keys", умеют ли авторы rfc отличать ipsec от ike, какой смысл в пусть даже надежно-эффективно-безбажно реализованной возможности подсмотреть в dns public key, если для установления соединения нужна куча других сведений о хосте, помимо его имени - вопросы риторические)

"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."
Отправлено Аноним , 21-Ноя-19 08:03 
>Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды

haha classic