http://thehackernews.com/2017/06/linux-buffer-overflow-code.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9445
"that could allow remote attackers to potentially trigger a buffer overflow"
Qualcuno può definire "attaccante remoto"? Stiamo parlando di un attacco man-in-the-middle della rete locale? ISP dannoso? Consulenza globale (stato nazionale)? Tutto quanto sopra?
E in che modo questo CVE può influire sulle connessioni VPN?
Poiché questo particolare CVE richiede un server DNS malevolo, tutti i vettori di attacco dettagliati (MITM, ISP malevolo, ecc.) sono possibili vettori di attacco. Qualsiasi parte in grado di reindirizzare il traffico DNS verso un server malevolo (o compromettere il server attualmente in uso) può elaborare le risposte dettagliate in questi articoli.
Questo influenza le VPN nel caso in cui le connessioni si stiano risolvendo con un server DNS specifico (compromesso / malevolo) che sono, in teoria, vulnerabili a questo tipo di attacco. La configurazione VPN determinerebbe in gran parte la loro vulnerabilità poiché alcune connessioni VPN potrebbero scegliere di ignorare il server DNS e non "ereditarlo" dal DHCP quando si collegano alla VPN. Detto questo, l'effetto su VPN Connections dipenderà dalla configurazione.
Dipende da quando è implicato il systemd-resolved ma immaginiamo il seguente caso:
Ti mando un'email con all'interno un'immagine: link . Il tuo mail reader locale (Outlook, Thunderbird, ecc.) Caricherà probabilmente l'immagine remota. Per ottenere l'immagine, deve ottenere l'indirizzo IP di myevilandswagsite.com, quindi invierà la richiesta DNS al mio malvagio DNS. Il mio malvagio DNS risponderà con una risposta appositamente predisposta che sfrutta l'overflow del buffer.
Quindi, l'attaccante può essere "remoto" senza alcuna restrizione. Ogni volta che posso guidarti a risolvere il mio nome host DNS, posso farti il tifo. Possiamo immaginare che Google possa assumere il pieno controllo di molte macchine inviando risposte dannose alle query DNS ogni volta che qualcuno cerca di raggiungere www.google.com
EDIT: Penso ad un altro vecchio attacco diffuso. Poiché le richieste DNS sono in UDP, puoi provare a emettere molte risposte DNS con l'origine IP di tua scelta (qualunque sia, questo è UDP). Se la tua risposta arriva prima di quella vera e accettata dall'host che effettua la richiesta, la userà.
Quindi, perché non provare a inviare la risposta DNS per www.google.com con il nome del vero DNS di Google e pregare perché vengano accettati. Per farli accettare, devi indovinare la buona sequenza ID UDP e il buon ID query DNS. Se ricordo correttamente questo è 65535 * 65535 possibilità ma "hey, ancora meglio di lotery"
Forse questo ti aiuta a giudicare il rischio.
"Considerando il modo in cui il servizio è ben limitato (scende a un utente normale, non ha dispositivi effettivi in / dev, filesystem di sola lettura, vuoto / home, filtro di syscall e tutti gli altri extra): dubito che questo è una grande minaccia in natura. "
Leggi altre domande sui tag internet configuration dns dns-spoofing dnssec
