7 bezpečnostních chyb v Dnsmasq (diskuse)

Už by to vážně chtělo OS kde bude minimálně všechen userspace (když už ne i kernel) a klíčové programy/daemony napsané v memory-safe jazyce...

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

4.10.2017 10:25 Conscript89 | Brno
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Nedival jsem se na ty CVE, takze nevim, jenom by me zajimalo jestli toto je pricinou vsech techto chyb, nebo jestli je to jen navrhovane "univerzalni reseni na vsechny problemy" vcetne shellshocku (ktery s praci s pameti nemel nic spolecneho).

I can only show you the door. You're the one that has to walk through it.

4.10.2017 11:12 R
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Napriklad v Jave, ze? Ta je bezpecna...

No vzhledem k tomun že je to hlavní DNS v openWRT, tak je důležité jak se to dostane do distra. Mimochodem, nevíte jak pokračuje sjednocení s LEDE?

4.10.2017 14:37 Conscript89 | Brno
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Jejej, diky za info, ted uz vim, ze openWRT nechci teda vubec :/

I can only show you the door. You're the one that has to walk through it.

4.10.2017 15:07 R
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Je to asi vo vsetkych malych routeroch, pretoze je to male a robi naraz DHCP aj DNS.

Samozrejme, v Openwrt sa da dnsmasq nahradit inymi balikmi, ak mas dost miesta.

4.10.2017 15:14 Conscript89 | Brno
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Jo, to chapu, vim o tom. Mam plno duvodu proc jsem nechtel openwrt (toto je jen dalsi). Pro vysvetleni, muj router je x86_64 system s centos7 (ISC dhcp + bind).

I can only show you the door. You're the one that has to walk through it.

4.10.2017 17:23 R
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

No ja mam router na Debiane, ale CPU je i586, takze Debian 9 tam uz nedam...

4.10.2017 22:06 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Centoos7 :D :D :D jupííííí

KERNEL ULTRAS video channel >>>

Jaka je sance ze flash na wdr3600 z posledniho openwrt na nove lede probehne bez vytvoreni cihlicky?

4.10.2017 22:31 GEDIK | skóre: 3
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Ja myslim ze snad mala. Ale cihla se da opravit pres jtag.

4.10.2017 22:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Stoprocentní, protože neflashuješ bootloader. I když firmware přepíšeš třeba náhodnými daty, stále není problém v ubootu stáhnout nový a spustit ho nebo ho zapsat do flashky.

4.10.2017 23:15 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Presne, rovnako sa ľudia boja flashnúť telefóny, ja som ich, flashol no proste moc. Aj bootloader, ale to býva v tak sekunde, dvoch a je malá šanca že sa niečo posere, navrch majú samozrejme tie kde sa bootloader riešiť nemusí.

KERNEL ULTRAS video channel >>>

5.10.2017 14:59 Conscript89 | Brno
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Mozna kdyby se nepouzival nespravne termin "flashnout", tak by se lidi nebali :)

I can only show you the door. You're the one that has to walk through it.

5.10.2017 15:00 Conscript89 | Brno
Rozbalit Rozbalit vše Re: 7 bezpečnostních chyb v Dnsmasq

Ah, sakra, spatne jsem precetl. Ignorujte muj comment.

I can only show you the door. You're the one that has to walk through it.

Nemám čas ty chyby všecky číst... z těch "remote code execution", kolik se jich dá zneužít k útoku zvenčí, tzn. ze strany "WAN", pokud je router správně nakonfigurovaný, tzn. pokud na vnějším rozhraní dnsmasq nenaslouchá dotazům DNS ani DHCP? Mmm... na druhou stranu, ono jde k útoku na router využít i napadené widle ve vnitřní síti...

[:wq]