LINUX.ORG.RU
ФорумTalks

DNS и уязвимые роутеры?

 , ,


0

1

Пишут, что рутеры, использующие uClibc, в том числе и ее форк в OpenWRT, содержат уязвимость в функции запроса разрешения доменного имени. Предсказуемость идентификатора запроса открывает возможности для атак на DNS кэш.

https://www.bleepingcomputer.com/news/security/unpatched-dns-bug-affects-millions-of-routers-and-iot-devices/

В комментах кто-то написал, что уязвимость бородатая, и таким образом, разрабы uClibc[-ng] о ней либо не знали, либо забили болт.

★★★★★

Последнее исправление: seiken (всего исправлений: 1)

Очередной «вирус, который надо самому установить от root’а»©?

Почти. Злоумышленник может произвести DNS cache poisoning способом известным с 1999 года, если подделает ответ DNS-сервера. Даже если это можно сделать не находясь в одной сети с машиной, на которой uClibc с «уязвимостью» - всё равно насрать, о чем свидительствует сам факт, что «уязвимость» известна с 1999 года и никто не то, что не чинит её - никто её не использует.

Пора бы за такие ревеляции гнать сисюрити-рисерчёров улицами городов и давать волчий билет, начиная с обретателей до-сих-пор-неиспользованных-злоумышленниками Meltdown и Spectre.

А за клоунаду с присвоением уязвимостям названий можно надевать ослины уши, например.

в том числе и ее форк в OpenWRT

Vanilla OpenWrt is unaffected as it uses musl libc since quite a while […] Many OEM forks of OpenWrt utilize a version based on Chaos Calmer 15.05 though, which still uses an equally old version of uclibc. Those versions might be affected. Unfortunately the OpenWrt project is not in a position to provide patches for those versions.

token_polyak ★★★★
()
Последнее исправление: token_polyak (всего исправлений: 3)
Ответ на: комментарий от token_polyak

Пора бы за такие ревеляции гнать сисюрити-рисерчёров улицами городов и давать волчий билет, начиная с обретателей до-сих-пор-неиспользованных-злоумышленниками Meltdown и Spectre.

это васянский подход к безопасности «если не существует успешного пути атаки - не интересно». Раскрытие уязвимости ценно само по себе, потому что можно сразу оценить риски от изменения среды выполнения, когда такие изменения сделают появление реального пути атаки возможным.

В данном случае, если следовать такому подходу, получается, что те разрабы, которые защитили свои реализации от данной уязвимости, могли бы и не париться, и потратили ресурсы впустую.

За клоунаду с присвоением уязвимостям названий

а как их надо обозначать? через cve? ну не все в курсе, когда какая уязвимость появилась и была зарегистрирована.

Those versions might be affected.

значит и openwrt это касается

seiken ★★★★★
() автор топика
Ответ на: комментарий от token_polyak

Ты тут на сесурити не гони мы тебя по ойпи вычеслим.

faq2
()
Ответ на: комментарий от seiken

В данном случае, если следовать такому подходу, получается, что те разрабы, которые защитили свои реализации от данной уязвимости, могли бы и не париться, и потратили ресурсы впустую.

Вы на шаг от верного вывода. Сделайте его.

значит и openwrt это касается

Они отвечают за актуальную версию, в которой всё пучком.

token_polyak ★★★★
()
Последнее исправление: token_polyak (всего исправлений: 1)

форк в OpenWRT

В OpenWrt используется musl давно уже. Если же используется какая-то древняя версия OpenWrt, то там и других «уязвимостей» хватает.

разрабы uClibc

Либа закончилась в 2012-2014 годах, мейнтейнер перестал выходить на связь. Поэтому появилась uClibc-ng

разрабы uClibc-ng

Либа фактически сдохла, т.к. в том же OpenWrt от нее отказались и смысла нет ее активно развивать. Сейчас еще как-то поддерживается отдельными коммитами часть архитектур, но многое уже становится неработоспособным с новыми ядрами. Если, например, попробовать под x86 32-bit использовать с ядрами 5.2+, то там даже некоторые сисколлы отвалятся.

те разрабы, которые защитили свои реализации от данной уязвимости

Такие давно перешли на другие libc. Остальным просто пофиг. Особенно учитывая, что в данном случае из-за рандомизации src портов здесь по сути брутфорсить предлагают, чтобы чего-то хакнуть.

zent
()
Последнее исправление: zent (всего исправлений: 1)
Ответ на: комментарий от zent

хорошо, если так. Ведь контора та, на скока я понял, как раз обнаружила уязвимую реализацию в современных рутерах. А конечных пользователей больше волнуют проблемы его рутера, чем положение вещей в иных реализациях libc. Вот например у меня рутер с проприетарной системой, и нет поддержки openwrt для него.

seiken ★★★★★
() автор топика
Ответ на: комментарий от zent

Если, например, попробовать под x86 32-bit использовать с ядрами 5.2+,

ну никто не заставляет иных производителей вообще версию 5.x использовать. Они могут однажды запилить свой софт на по современным меркам древнем ядре, и дальше только обновлять пользовательский уровень.

seiken ★★★★★
() автор топика
Ответ на: комментарий от seiken

На древнем ядре будет проблема с поддержкой новых чипов. В частности с поддержкой того же wifi6 и wifi6e. Можно бекпортить отдельные драйвера и иные модули на старые ядра, но в конечном счете все равно даже на роутерах не получится вечно сидеть на древних ядрах, если нужны новые фичи и железо, поэтому вендоры их обновляют понемногу. Но не в рамках одной модели, конечно. Если вышел роутер на ядре 2.6, 3.10 или 4.4, то обновлять в проприетарной прошивке ядро уже не будут до условного 4.19 или 5.2. Если только в виде экспериментальной версии.

zent
()
Последнее исправление: zent (всего исправлений: 1)
Ответ на: комментарий от seiken

На проприетарных часто используют оригинальное uclibc, которое с 2014 года не обновлялось. Ну и остальные пакеты там редко обновляют, если только сильно кричать в сми про уязвимости не будут. Как с dnsmasq, например. Так что в целом волноваться не о чем, у вас на роутере и так часть иного софта дырявая скорее всего, так что эта уязвимость роли не сыграет.

zent
()
Ответ на: комментарий от zent

Хотя на более новых моделях, если железо позволяет, то вендоры и glibc могут нормальную запихать, но тоже обычно не самую новую и с уязвимостями. Короче если прямо сильно интересует, то запросите gpl у вендора и посмотрите, что там за софт.

zent
()
Последнее исправление: zent (всего исправлений: 1)

Уязвимостт сработает если ты доверяешь DNS. Протоколы типа TLS, Ipsec, Wireguard, etc защитят!

realbarmaley ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.