Vlákno názorů k článku Postřehy z bezpečnosti: kritická chyba glibc postihuje linuxové systémy od to_je_jedno - Muze mi nekdo nejak srozumitelne popsat jak REALNE...
-
Muze mi nekdo nejak srozumitelne popsat jak REALNE muze provest utocnik utok na muj server skrze tu chybu v glibc? Laicky mi prijde, ze by to nemelo byt vubec jednoduche. MITM pri DNS dotazu? To jako ze by ovladl nejaky sitovy prvek na ceste mezi housingem a DNS serverem? Nebo by musel byt schopen nejak memu systemu rict, aby se dotazoval jeho DNS?
-
Kolemjdouci (neregistrovaný)
Tam se daji pouzit i jina svinstva..
https://en.wikipedia.org/wiki/DNS_spoofing -
Pajk (neregistrovaný)
No můj názor je, že každá server side služba, která dělá dopředné dns na útočníkem dodatelný hostname (pokud to dns dělá tím T_UNSPEC způsobem), může být napadena. A takové dns (třeba i reverzní dns z ip na název a pro kontrolu dopředné dns z názvu zpět na ip) podle mne dělá třeba mail server při posílání non delivery failure (hledá ve finále ip cílového mail serveru, doménu odesilatele určí útočník), podle mne i Apache nebo Ftp při logování se zapnutým lookup nebo při zjišťování názvu pro povolování domén v Allow from, hosts.allow apod. Je samozřejmě otázka, jestli běžně používané daemony (Apache, postfix, sendmail, vsftpd ...) dělají dopředné dns tím T_UNSPEC způsobem nebo nějak zvlášť ipv4/ipv6/zkrátka jinak, to nevím a nehledal jsem, raději patchoval (updatoval glibc) ...
-
Jenda (neregistrovaný)
> No můj názor je, že každá server side služba, která dělá dopředné dns na útočníkem dodatelný hostname (pokud to dns dělá tím T_UNSPEC způsobem), může být napadena.
Ano, ale musíš být na „last-mile“. Zatím nikdo nepřišel (veřejně) na to, jak sestrojit zprávu zneužívající ten bug, která projde běžnými DNS servery. Takže to není tak, že ns.iinfo.cz vyownuje návštěvníky Rootu - může tě vyuwnovat jen ten DNS server, který máš v resolv.conf (respektive někdo, kdo mu umí ukrást adresu).
> Je samozřejmě otázka, jestli běžně používané daemony (Apache, postfix, sendmail, vsftpd ...) dělají dopředné dns tím T_UNSPEC způsobem
Dělají.
-
Jenda (neregistrovaný)
Ano, musí podvrhnout DNS odpověď. U serveru se to bude dělat špatně (pokud nemá server ve stejném subnetu a v telehouse je síť špatně izolovaná), u desktopu/notebooku je to jednodušší (stačí např. sdílená wifi, případně to může udělat tvůj ISP, protože většina lidí nemá lokální rekurzor).
-
ebik (neregistrovaný)
Podle mne tu autor buď záměrně, nebo z nevědomosti zamlčel fakt, že pokud k resolvování používám vlastní dns server (což dělám třeba i na vlastním desktopu, kde potřebuju posílat jinam dotazy na domény z firmy a jinam dotazy na domény od mého ISP), tak nejsem postižen přímo.
A že tedy by mělo stačit před nezabezpečenou aplikaci (třeba staticky sliknovanou) postavit vlastní dns rekurzor. (Pokud v něm nebude chyba, zneužitelná pro spuštění tohoto útoku. Pokud vím, tak by ale neměl dns rekurzor poslat na jeden požadavek dvě různé odpovědi.)
-
Martin ČmelíkZlatý podporovatelZkuste si treba precist druhy odstavec v odkazovanem clanku Dana Kaminskeho
Samozrejme ze pokud se upravena DNS odpoved dostane az k vam pres vas DNS resolver (ktery ji jen preposle, nebo vezme z cache), tak je mozne chybu zneuzit az u vas. Pokud bude utocnik schopen pouzit i DNS cache poisoning, tak vam tu skodlivou odpoved muze naservirovat pri dotazu na jakykoliv DNS zaznam.
-
ebik (neregistrovaný)
Ne. Tam se pise, ze to je teoreticky mozne, ale zatim se to skrz bezne rekurzory nepodarilo protlacit. A nize se pise ze utok zavisi na opakovani pozadavku/odpovedi.
To opakovani se teoreticky stat muze, ale pro utocnika je (zatim) tezke to opakovani za rekurzorem vyvolat. (Nejspis by musel zahltit linku, nebo tak neco.) Takze za vlastnimi rekurzory sice nejsem v absolutnim bezpeci, ale rozhodne nejsem ohrozovan skript kiddies, ktere si stahnou vektor utoku, trochu ho priohnou a pouzijou ho.
