forum.opennet.ru - "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." (18)

"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+/–
Сообщение от opennews (??), 20-Ноя-19, 10:58
В DNS-сервере Unbound выявлена уязвимость (CVE-2019-18934), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем ipsec ("--enable-ipsecmod") и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске Unbound 1.9.5... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51900
Ответить \| Правка \| Cообщить модератору

Оглавление

В OpenWRT проявляется , Аноним (1), 10:58 , 20-Ноя-19, (1) –3

Тут есть несколько вопросов 1 Зачем ты притащил этот дуршлаг себе на роутер 2 , Fyjy (?), 11:03 , 20-Ноя-19, (2) –1

А, я его с dnsmasq перепутал, где тоже когда-то уязвимость была Всё нормально , Аноним (1), 11:10 , 20-Ноя-19, (3) –1
1 Расскажи про альтернативы2 Для эксплуатации уязвимости не нужен 53 порт нару, Аноним (4), 11:12 , 20-Ноя-19, (4) +1

Тебе нужен резолвер, а не DNS-сервер Есть прекрасный dnscrypt-proxy, который ес, Fyjy (?), 15:22 , 20-Ноя-19, (14) –3

Unbound и есть резолвер, умник, Анон1999 (?), 08:18 , 21-Ноя-19, (17)

почему openwrt - дуршлаг , Аноним (12), 12:37 , 20-Ноя-19, (12) +3

а кто в курсе, что это вообще за неведомая е6анина ipsec module и зачем оно не, Аноним (5), 11:16 , 20-Ноя-19, (5) +4

Всегда интересовало, зачем вообще нужен ipsec рядом с OpenVPN , ryoken (ok), 11:38 , 20-Ноя-19, (6) –8

Не путайте теплое с мягким , fantom (??), 11:49 , 20-Ноя-19, (7) +7
Значит, Вы просто не знаете, что такое IPsec OpenVPN имеет только часть функцион, Аноним (13), 13:16 , 20-Ноя-19, (13) +1

Да и в ОпенВПН тоже так всегда было - тоже канал умеет шифровать , Аноним (15), 17:25 , 20-Ноя-19, (15)

Не всем хватает скорости модема , Аноним (18), 10:35 , 21-Ноя-19, (18)

Можно хранить открытый ключ шлюза в DNS, это удобно когда нет постоянного IP-адр, Рома (??), 11:58 , 20-Ноя-19, (10) +4
возможно речь идёт об RFC4025 A Method for Storing IPsec Keying Material in DNS, Нанобот (ok), 12:29 , 20-Ноя-19, (11) +2

Ну такая специфичная штука которая мало кому может понадобиться, да и модуль это, xm (ok), 11:51 , 20-Ноя-19, (8) +4

спасибо, действительно - эталонное ненужно в ненужно для поддержки ненужно в ка, Аноним (5), 11:56 , 20-Ноя-19, (9) +3

haha classic, Аноним (16), 08:03 , 21-Ноя-19, (16)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." –3 +/–

Сообщение от Аноним (1), 20-Ноя-19, 10:58

В OpenWRT проявляется?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." –1 +/–

Сообщение от Fyjy (?), 20-Ноя-19, 11:03

Тут есть несколько вопросов:
1. Зачем ты притащил этот дуршлаг себе на роутер?
2. Зачем ты выставляешь 53/udp и 53/tcp своего роутера голой дупой наружу?
Если сможешь ответить на эти два вопроса, то обсудим все остальное.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." –1 +/–

Сообщение от Аноним (1), 20-Ноя-19, 11:10

А, я его с dnsmasq перепутал, где тоже когда-то уязвимость была. Всё нормально.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +1 +/–

Сообщение от Аноним (4), 20-Ноя-19, 11:12

1. Расскажи про альтернативы
2. Для эксплуатации уязвимости не нужен 53 порт наружу.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." –3 +/–

Сообщение от Fyjy (?), 20-Ноя-19, 15:22

Тебе нужен резолвер, а не DNS-сервер. Есть прекрасный dnscrypt-proxy, который есть в репах OpenWRT

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +/–

Сообщение от Анон1999 (?), 21-Ноя-19, 08:18

Unbound и есть резолвер, умник

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +3 +/–

Сообщение от Аноним (12), 20-Ноя-19, 12:37

почему openwrt - дуршлаг?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +4 +/–

Сообщение от Аноним (5), 20-Ноя-19, 11:16

а кто в курсе, что это вообще за неведомая е6анина "ipsec module" и зачем оно ненужно? Какой еще нахрен ipsec - в dns-ресолвере?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." –8 +/–

Сообщение от ryoken (ok), 20-Ноя-19, 11:38

Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +7 +/–

Сообщение от fantom (??), 20-Ноя-19, 11:49

Не путайте теплое с мягким.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +1 +/–

Сообщение от Аноним (13), 20-Ноя-19, 13:16

Значит, Вы просто не знаете, что такое IPsec.
OpenVPN имеет только часть функциональности, которая есть IPsec. C IPsec Вы можете, например, установить правило для ssh работать в Ipsec transport mode, тем самым добавив ещё один слой шифрования и избавив себя (в некоторой степени) от рисков связанных с уязвимостями в ssh.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +/–

Сообщение от Аноним (15), 20-Ноя-19, 17:25

Да и в ОпенВПН тоже так всегда было - тоже канал умеет шифровать.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +/–

Сообщение от Аноним (18), 21-Ноя-19, 10:35

> Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.
Не всем хватает скорости модема.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +4 +/–

Сообщение от Рома (??), 20-Ноя-19, 11:58

Можно хранить открытый ключ шлюза в DNS, это удобно когда нет постоянного IP-адреса или он меняется как в AWS или Azure. Плюс к этому Unbound поддерживает DNSSEC, так что ответ о ключе и новом IP придет подтвержденным.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +2 +/–

Сообщение от Нанобот (ok), 20-Ноя-19, 12:29

возможно речь идёт об RFC4025 (A Method for Storing IPsec Keying Material in DNS)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +4 +/–

Сообщение от xm (ok), 20-Ноя-19, 11:51

Ну такая специфичная штука которая мало кому может понадобиться, да и модуль этот выключен при сборке по умолчанию везде.
https://tools.ietf.org/html/rfc4025

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +3 +/–

Сообщение от Аноним (5), 20-Ноя-19, 11:56

> Ну такая специфичная штука которая мало кому может понадобиться
спасибо, действительно - эталонное ненужно в ненужно для поддержки ненужно.
(в какой реализации ipsec есть какие-то "public keys", умеют ли авторы rfc отличать ipsec от ike, какой смысл в пусть даже надежно-эффективно-безбажно реализованной возможности подсмотреть в dns public key, если для установления соединения нужна куча других сведений о хосте, помимо его имени - вопросы риторические)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..." +/–

Сообщение от Аноним (16), 21-Ноя-19, 08:03

>Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды
haha classic

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	–3 +/–
Сообщение от Аноним (1), 20-Ноя-19, 10:58
В OpenWRT проявляется?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	–1 +/–
	Сообщение от Fyjy (?), 20-Ноя-19, 11:03
	Тут есть несколько вопросов: 1. Зачем ты притащил этот дуршлаг себе на роутер? 2. Зачем ты выставляешь 53/udp и 53/tcp своего роутера голой дупой наружу? Если сможешь ответить на эти два вопроса, то обсудим все остальное.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	–1 +/–
	Сообщение от Аноним (1), 20-Ноя-19, 11:10
	А, я его с dnsmasq перепутал, где тоже когда-то уязвимость была. Всё нормально.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+1 +/–
	Сообщение от Аноним (4), 20-Ноя-19, 11:12
	1. Расскажи про альтернативы 2. Для эксплуатации уязвимости не нужен 53 порт наружу.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	14. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	–3 +/–
	Сообщение от Fyjy (?), 20-Ноя-19, 15:22
	Тебе нужен резолвер, а не DNS-сервер. Есть прекрасный dnscrypt-proxy, который есть в репах OpenWRT
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	17. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+/–
	Сообщение от Анон1999 (?), 21-Ноя-19, 08:18
	Unbound и есть резолвер, умник
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	12. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+3 +/–
	Сообщение от Аноним (12), 20-Ноя-19, 12:37
	почему openwrt - дуршлаг?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

5. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+4 +/–
Сообщение от Аноним (5), 20-Ноя-19, 11:16
а кто в курсе, что это вообще за неведомая е6анина "ipsec module" и зачем оно ненужно? Какой еще нахрен ipsec - в dns-ресолвере?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	–8 +/–
	Сообщение от ryoken (ok), 20-Ноя-19, 11:38
	Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+7 +/–
	Сообщение от fantom (??), 20-Ноя-19, 11:49
	Не путайте теплое с мягким.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	13. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+1 +/–
	Сообщение от Аноним (13), 20-Ноя-19, 13:16
	Значит, Вы просто не знаете, что такое IPsec. OpenVPN имеет только часть функциональности, которая есть IPsec. C IPsec Вы можете, например, установить правило для ssh работать в Ipsec transport mode, тем самым добавив ещё один слой шифрования и избавив себя (в некоторой степени) от рисков связанных с уязвимостями в ssh.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	15. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+/–
	Сообщение от Аноним (15), 20-Ноя-19, 17:25
	Да и в ОпенВПН тоже так всегда было - тоже канал умеет шифровать.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	18. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+/–
	Сообщение от Аноним (18), 21-Ноя-19, 10:35
	> Всегда интересовало, зачем вообще нужен ipsec... рядом с OpenVPN. Не всем хватает скорости модема.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+4 +/–
	Сообщение от Рома (??), 20-Ноя-19, 11:58
	Можно хранить открытый ключ шлюза в DNS, это удобно когда нет постоянного IP-адреса или он меняется как в AWS или Azure. Плюс к этому Unbound поддерживает DNSSEC, так что ответ о ключе и новом IP придет подтвержденным.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	11. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+2 +/–
	Сообщение от Нанобот (ok), 20-Ноя-19, 12:29
	возможно речь идёт об RFC4025 (A Method for Storing IPsec Keying Material in DNS)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

8. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+4 +/–
Сообщение от xm (ok), 20-Ноя-19, 11:51
Ну такая специфичная штука которая мало кому может понадобиться, да и модуль этот выключен при сборке по умолчанию везде. https://tools.ietf.org/html/rfc4025
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+3 +/–
	Сообщение от Аноним (5), 20-Ноя-19, 11:56
	> Ну такая специфичная штука которая мало кому может понадобиться спасибо, действительно - эталонное ненужно в ненужно для поддержки ненужно. (в какой реализации ipsec есть какие-то "public keys", умеют ли авторы rfc отличать ipsec от ike, какой смысл в пусть даже надежно-эффективно-безбажно реализованной возможности подсмотреть в dns public key, если для установления соединения нужна куча других сведений о хосте, помимо его имени - вопросы риторические)
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

16. "Уязвимость в DNS-сервере Unbound, допускающее удалённое выпо..."	+/–
Сообщение от Аноним (16), 21-Ноя-19, 08:03
>Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды haha classic
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору