Ho letto che la vulnerabilità è scatenata da una risposta DNS. Come puoi essere vulnerabile se ti fidi dei tuoi server DNS?
I tuoi server DNS potrebbero reindirizzare la tua richiesta ad altri DNS che potrebbero essere dannosi? Il DNS non chiede gli altri server DNS e ti dà la risposta? La risposta malevola può attraversare il tuo DNS fidato e sfruttarti?
Anche se è un po 'azzardato citare semplicemente una terza parte, il rapporto di Redhat contiene in realtà risposte chiare alle tue domande. Dalla sezione FAQ del link :
Can a trusted recursive DNS resolver protect against this issue?
A trusted recursive resolver, in a default, protocol-compliant configuration, cannot mitigate this issue because potential exploits could involve syntactically well-formed DNS responses. Restricting response sizes to to 1023 bytes can mitigate the issue if the network between the recursive resolver and clients using affected versions of glibc is trusted, and potential attackers cannot spoof the source address of the recursive resolver. The packet size restrictions have to be applied to the responses the recursive resolver generates, not the responses it receives from the Internet. Such packet size restrictions break some DNS-related services, including DNSSEC. Apart from the size aspect, there is no way for DNS recursors to detect and block attack traffic.Is it sufficient to upgrade Internet-facing DNS servers and recursive resolvers?
No, the glibc packages on all hosts (both servers and clients) need to be updated.
Ma se hai solo una rete interna che non ha accesso all'esterno (il che significa che non c'è accesso diretto o indiretto verso l'esterno per i server DNS) e ti fidi della configurazione del tuo DNS e non sei vulnerabile al DNS spoofing quindi dovresti essere sicuro perché è impossibile per un utente malintenzionato controllare parzialmente anche le risposte DNS all'interno della tua rete.
Leggi altre domande sui tag dns vulnerability