Muze mi nekdo nejak srozumitelne popsat jak REALNE muze provest utocnik utok na muj server skrze tu chybu v glibc? Laicky mi prijde, ze by to nemelo byt vubec jednoduche. MITM pri DNS dotazu? To jako ze by ovladl nejaky sitovy prvek na ceste mezi housingem a DNS serverem? Nebo by musel byt schopen nejak memu systemu rict, aby se dotazoval jeho DNS?
Tam se daji pouzit i jina svinstva..
https://en.wikipedia.org/wiki/DNS_spoofing
No můj názor je, že každá server side služba, která dělá dopředné dns na útočníkem dodatelný hostname (pokud to dns dělá tím T_UNSPEC způsobem), může být napadena. A takové dns (třeba i reverzní dns z ip na název a pro kontrolu dopředné dns z názvu zpět na ip) podle mne dělá třeba mail server při posílání non delivery failure (hledá ve finále ip cílového mail serveru, doménu odesilatele určí útočník), podle mne i Apache nebo Ftp při logování se zapnutým lookup nebo při zjišťování názvu pro povolování domén v Allow from, hosts.allow apod. Je samozřejmě otázka, jestli běžně používané daemony (Apache, postfix, sendmail, vsftpd ...) dělají dopředné dns tím T_UNSPEC způsobem nebo nějak zvlášť ipv4/ipv6/zkrátka jinak, to nevím a nehledal jsem, raději patchoval (updatoval glibc) ...
> No můj názor je, že každá server side služba, která dělá dopředné dns na útočníkem dodatelný hostname (pokud to dns dělá tím T_UNSPEC způsobem), může být napadena.
Ano, ale musíš být na „last-mile“. Zatím nikdo nepřišel (veřejně) na to, jak sestrojit zprávu zneužívající ten bug, která projde běžnými DNS servery. Takže to není tak, že ns.iinfo.cz vyownuje návštěvníky Rootu - může tě vyuwnovat jen ten DNS server, který máš v resolv.conf (respektive někdo, kdo mu umí ukrást adresu).
> Je samozřejmě otázka, jestli běžně používané daemony (Apache, postfix, sendmail, vsftpd ...) dělají dopředné dns tím T_UNSPEC způsobem
Dělají.
Ano, musí podvrhnout DNS odpověď. U serveru se to bude dělat špatně (pokud nemá server ve stejném subnetu a v telehouse je síť špatně izolovaná), u desktopu/notebooku je to jednodušší (stačí např. sdílená wifi, případně to může udělat tvůj ISP, protože většina lidí nemá lokální rekurzor).
Podle mne tu autor buď záměrně, nebo z nevědomosti zamlčel fakt, že pokud k resolvování používám vlastní dns server (což dělám třeba i na vlastním desktopu, kde potřebuju posílat jinam dotazy na domény z firmy a jinam dotazy na domény od mého ISP), tak nejsem postižen přímo.
A že tedy by mělo stačit před nezabezpečenou aplikaci (třeba staticky sliknovanou) postavit vlastní dns rekurzor. (Pokud v něm nebude chyba, zneužitelná pro spuštění tohoto útoku. Pokud vím, tak by ale neměl dns rekurzor poslat na jeden požadavek dvě různé odpovědi.)
Zkuste si treba precist druhy odstavec v odkazovanem clanku Dana Kaminskeho
Samozrejme ze pokud se upravena DNS odpoved dostane az k vam pres vas DNS resolver (ktery ji jen preposle, nebo vezme z cache), tak je mozne chybu zneuzit az u vas. Pokud bude utocnik schopen pouzit i DNS cache poisoning, tak vam tu skodlivou odpoved muze naservirovat pri dotazu na jakykoliv DNS zaznam.
Ne. Tam se pise, ze to je teoreticky mozne, ale zatim se to skrz bezne rekurzory nepodarilo protlacit. A nize se pise ze utok zavisi na opakovani pozadavku/odpovedi.
To opakovani se teoreticky stat muze, ale pro utocnika je (zatim) tezke to opakovani za rekurzorem vyvolat. (Nejspis by musel zahltit linku, nebo tak neco.) Takze za vlastnimi rekurzory sice nejsem v absolutnim bezpeci, ale rozhodne nejsem ohrozovan skript kiddies, ktere si stahnou vektor utoku, trochu ho priohnou a pouzijou ho.