Spezialisten aus JSOF Fuerschungslaboratoiren hunn siwen nei Schwachstelle gemellt am DNS / DHCP Server dnsmasq. Den dnsmasq Server ass ganz populär a gëtt als Standard a ville Linux Verdeelungen benotzt, souwéi an Netzwierkausrüstung vu Cisco, Ubiquiti an anerer. Dnspooq Schwachstelle enthalen DNS Cache Vergëftung souwéi Remote Code Ausféierung. D'Schwieregkeeten goufen an dnsmasq 2.83 fixéiert.
Am Joer 2008 huet de renomméierte Sécherheetsfuerscher Dan Kaminsky e fundamentale Feeler am DNS-Mechanismus vum Internet entdeckt an ausgesat. De Kaminsky huet bewisen datt Ugräifer d'Domainadressen spoofe kënnen an Daten klauen. Dëst ass zënter dem "Kaminsky Attack" bekannt ginn.
DNS gouf zënter Joerzéngte als en onséchere Protokoll ugesinn, obwuel et e gewëssen Niveau vun Integritéit garantéiert. Et ass aus dësem Grond datt et nach ëmmer staark ugewise gëtt. Zur selwechter Zäit goufen Mechanismen entwéckelt fir d'Sécherheet vum ursprénglechen DNS-Protokoll ze verbesseren. Dës Mechanismen enthalen HTTPS, HSTS, DNSSEC an aner Initiativen. Wéi och ëmmer, och mat all dëse Mechanismen op der Plaz, ass DNS Kaping nach ëmmer e geféierlechen Attack am Joer 2021. Vill vum Internet hänkt nach ëmmer op DNS op déiselwecht Manéier wéi et am Joer 2008 gemaach huet, an ass ufälleg fir déiselwecht Aarte vun Attacken.
DNSpooq Cache Vergëftung Schwachstelle:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Dës Schwachstelle sinn ähnlech wéi SAD DNS Attacke viru kuerzem vun Fuerscher vun der University of California an der Tsinghua University gemellt. SAD DNS an DNSpooq Schwachstelle kënnen och kombinéiert ginn fir Attacken nach méi einfach ze maachen. Zousätzlech Attacke mat onkloer Konsequenzen goufen och vu gemeinsame Efforte vun den Universitéite gemellt (Poison Over Troubled Forwarders, etc.).
Schwachstelle funktionnéieren andeems d'Entropie reduzéiert gëtt. Wéinst der Notzung vun engem schwaache Hash fir DNS-Ufroen z'identifizéieren an der onpräzis Matching vun der Ufro un d'Äntwert, kann d'Entropie staark reduzéiert ginn an nëmmen ~19 Bits musse roden, wat Cache Vergëftung méiglech mécht. D'Art a Weis wéi dnsmasq CNAME records veraarbecht erlaabt et eng Kette vu CNAME records ze verstoppen an effektiv bis zu 9 DNS records gläichzäiteg ze vergëften.
Buffer Iwwerschwemmungen: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. All 4 bemierkt Schwachstelle sinn am Code mat DNSSEC Implementatioun präsent a schéngen nëmme wann d'Iwwerpréiwung iwwer DNSSEC an den Astellungen aktivéiert ass.
Source: linux.org.ru