Ireo manam-pahaizana manokana avy amin'ny laboratoara fikarohana JSOF dia nitatitra faharefoana fito vaovao ao amin'ny server DNS/DHCP dnsmasq. Ny mpizara dnsmasq dia tena malaza ary ampiasaina amin'ny alΓ lan'ny default amin'ny fizarana Linux maro, ary koa amin'ny fitaovana tambajotra avy amin'ny Cisco, Ubiquiti sy ny hafa. Ny vulnerabilities Dnspooq dia misy ny fanapoizinana cache DNS ary koa ny famonoana kaody lavitra. Ny vulnerabilities dia raikitra ao amin'ny dnsmasq 2.83.
Tamin'ny 2008, Dan Kaminsky, mpikaroka momba ny fiarovana malaza, dia nahita sy nampiharihary lesoka fototra amin'ny rafitra DNS an'ny Internet. Noporofoin'i Kaminsky fa afaka mamitaka ny adiresin'ny sehatra sy mangalatra angona ireo mpanafika. Izany dia nanjary fantatra amin'ny anarana hoe "Kaminsky Attack".
Noheverina ho protocole tsy azo antoka ny DNS nandritra ny am-polony taona maro, na dia heverina ho miantoka ny haavon'ny fahamendrehana aza. Izany indrindra no mbola ianteherana fatratra. Nandritra izany fotoana izany, dia novolavolaina ny mekanika hanatsarana ny fiarovana ny protocol DNS tany am-boalohany. Ireo mekanika ireo dia ahitana HTTPS, HSTS, DNSSEC ary hetsika hafa. Na izany aza, na dia eo aza ireo mekanika rehetra ireo dia mbola fanafihana mampidi-doza amin'ny 2021 ny fanondranana DNS. Ny ankamaroan'ny Internet dia mbola miantehitra amin'ny DNS mitovy amin'ny tamin'ny taona 2008, ary mora voan'ny karazana fanafihana mitovy.
Faharefoana fanapoizinana cache DNSpooq:
CVE-2020-25686, CVE-2020-25684, CVE-2020-25685. Ireo vulnerability ireo dia mitovy amin'ny fanafihana DNS SAD vao haingana notaterin'ny mpikaroka avy amin'ny Oniversiten'i Kalifornia sy ny Oniversite Tsinghua. Ny vulnerabilities SAD DNS sy DNSpooq dia azo atambatra ihany koa mba hanamora kokoa ny fanafihana. Ny fanafihana fanampiny misy vokany tsy mazava dia notaterina ihany koa tamin'ny ezaka niraisan'ny oniversite (Poison Over Troubled Forwarders, sns.).
Ny vulnerabilities dia miasa amin'ny fampihenana ny entropy. Noho ny fampiasana tenifototra malemy hamantarana ny fangatahan'ny DNS sy ny fampifanarahana tsy mifanaraka amin'ny fangatahana amin'ny valinteny, dia azo ahena be ny entropy ary ~ 19 bits ihany no mila vinavinaina, mahatonga ny fanapoizinana cache. Ny fomba fampandehanan'ny dnsmasq ny rakitra CNAME dia ahafahany mandrombaka rojo firaketana CNAME ary manapoizina amin'ny fomba mahomby ny rakitra DNS 9 isaky ny mandeha.
Faharefoana be loatra ny buffer: CVE-2020-25687, CVE-2020-25683, CVE-2020-25682, CVE-2020-25681. Ny vulnerabilities 4 rehetra voamarika dia hita ao amin'ny kaody miaraka amin'ny fampiharana DNSSEC ary tsy miseho afa-tsy rehefa alefa amin'ny alΓ lan'ny DNSSEC ny fanamarinana.
Source: linux.org.ru