Spesjalisten fan JSOF-ûndersykslaboratoaren rapporteare sân nije kwetsberens yn 'e DNS / DHCP-tsjinner dnsmasq. De dnsmasq-tsjinner is tige populêr en wurdt standert brûkt yn in protte Linux-distribúsjes, lykas yn netwurkapparatuer fan Cisco, Ubiquiti en oaren. Dnspooq-kwetsberheden omfetsje DNS-cachefergiftiging lykas eksekúsje op ôfstân. De kwetsberens binne reparearre yn dnsmasq 2.83.
Yn 2008 ûntduts en bleatsteld de ferneamde feiligensûndersiker Dan Kaminsky in fûnemintele flater yn it DNS-meganisme fan it ynternet. Kaminsky bewiisde dat oanfallers domeinadressen kinne spoofje en gegevens stelle. Dit is sûnt bekend wurden as de "Kaminsky Attack".
DNS wurdt al tsientallen jierren as in ûnfeilich protokol beskôge, hoewol it in bepaald nivo fan yntegriteit garandearje moat. It is om dizze reden dat it noch sterk fertroud wurdt. Tagelyk waarden meganismen ûntwikkele om de feiligens fan it orizjinele DNS-protokol te ferbetterjen. Dizze meganismen omfetsje HTTPS, HSTS, DNSSEC en oare inisjativen. Sels mei al dizze meganismen yn plak, is DNS-kaping lykwols noch in gefaarlike oanfal yn 2021. In grut part fan it ynternet fertrout noch op DNS op deselde manier as yn 2008, en is gefoelich foar deselde soarten oanfallen.
DNSpooq-cache fergiftiging kwetsberens:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Dizze kwetsberens binne fergelykber mei SAD DNS-oanfallen dy't koartlyn rapporteare troch ûndersikers fan 'e Universiteit fan Kalifornje en Tsinghua University. SAD DNS- en DNSpooq-kwetsberheden kinne ek wurde kombinearre om oanfallen noch makliker te meitsjen. Oanfoljende oanfallen mei ûndúdlike gefolgen binne ek rapportearre troch mienskiplike ynspanningen fan universiteiten (Poison Over Troubled Forwarders, ensfh.).
Kwetsberheden wurkje troch it ferminderjen fan entropy. Troch it brûken fan in swakke hash om DNS-oanfragen te identifisearjen en de ûnprecise oerienkomst fan it fersyk oan it antwurd, kin entropy sterk fermindere wurde en moatte allinich ~19 bits rieden wurde, wêrtroch cachefergiftiging mooglik is. De manier wêrop dnsmasq CNAME-records ferwurket lit it in keatling fan CNAME-records spoofje en effektyf oant 9 DNS-records tagelyk fergiftigje.
Bufferoverflow-kwetsberheden: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Alle 4 opmurken kwetsberens binne oanwêzich yn koade mei DNSSEC ymplemintaasje en ferskine allinnich as kontrolearjen fia DNSSEC is ynskeakele yn de ynstellings.
Boarne: linux.org.ru