Recentemente scopri la vulnerabilità di glibc getaddrinfo (CVE-2015-7547): link
Gestiamo la nostra applicazione su CentOS 6. Ho trovato qui il seguente: link
Note: this issue is only exposed when libresolv is called from the
nss_dns NSS service module. (CVE-2015-7547)
Devo aggiornare glibc se non configuro il DNS? Ho il seguente in /etc/resolv.conf
nameserver 127.0.0.1
Should I update glibc if I disable DNS service?
Should I update glibc if I enable DNS service?
Il servizio DNS riguarda l'esecuzione del proprio server DNS. Questo bug non è correlato a questo, ma è invece correlato alle ricerche DNS eseguite dalle applicazioni, ovvero il browser che cerca l'indirizzo IP di un sito basato sul nome host nell'URL. Quindi sì, è necessario aggiornare.
Should I update glibc if I do not configure DNS? I have the following in /etc/resolv.conf
A meno che il server dei nomi su 127.0.0.1 sia un server che ti protegge questo tipo di attacchi, devi aggiornarlo. Nota che secondo redhat il solito dnsmasq ecc probabilmente non ti proteggerà completamente:
- Can a trusted DNS resolver protect against this issue? A trusted resolver, in a default, protocol-compliant configuration, cannot mitigate this issue because potential exploits could involve syntactically well-formed DNS responses.
Perché non dovresti aggiornare? Di solito valuto la necessità di aggiornare o meno a seconda che influenzi la nostra infrastruttura, tuttavia in questo caso non ci sono dubbi a riguardo. Inoltre, è valutato come critico. Avere 127.0.0.1 non significa che non si dispone di DNS, si potrebbe puntare ad un dnsmasq per esempio. Come altri hanno detto, il DNS è ovunque.
Anche senza puntare a un server DNS, teoricamente sarebbe possibile avere un compromesso tramite un'applicazione locale (o un utente locale canaglia), sfruttando una via di compromesso per estendere i suoi privilegi a un altro utente.
Leggi altre domande sui tag export vulnerability incident-response glibc