| |
| 2.5, пох (?), 22:22, 02/10/2017 [^] [^^] [^^^] [ответить]
| –18 +/– | |
это типовое решение для г-нороутеров. Как всякой длинковой дряни, так и сделанных админами-самоучками-без-мотора из старого писюка, который уже стыдно ставить секретарше.
| | |
| |
| 3.6, andy (??), 22:40, 02/10/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> это типовое решение для г-нороутеров.
А какое, по вашему мнению, правильное решение?
| | |
| |
| |
| 5.30, пох (?), 09:57, 03/10/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> unbound не?
не. Этого неуловимого джо пока особо не ломают просто потому, что никому не сдался.
DoS уязвимости при этом в нем уже несколько раз находили.
| | |
| |
| 6.58, Аноним (-), 19:48, 03/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Использую в high visibility проде, в котором dns-запросов в минуту больше, чем ты за жизнь видел. Не ломают, в атаках не участвуем. ЧЯДНТ?
| | |
| |
| 7.59, пох (?), 23:12, 03/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> ЧЯДНТ
нос задираешь не по разуму.
откуда тебе знать, чего я там видел?
Соответственно, и спорить с тобой не о чем. Повзрослеешь, приходи.
| | |
|
|
|
| 4.37, Аноноим (?), 12:03, 03/10/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> это типовое решение для г-нороутеров.
> А какое, по вашему мнению, правильное решение?
systemd-resolved - в нем дыр ровно в 7 раз меньше.
| | |
| |
| |
| 6.40, Аноним (-), 12:28, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
Время роли не играет. Можно за 20 лет не найти ни одной дыры, а можно за неделю десяток найти.
| | |
| 6.41, Аноноим (?), 12:36, 03/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> За в 49 раз меньшее время?...
resolved уже года три минимум. Получается, dnsmasq еще при Екатерине работал?
| | |
| |
| 7.42, Andrey Mitrofanov (?), 13:23, 03/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> За в 49 раз меньшее время?...
> resolved уже года три минимум.
Да.
28.05.2014 23:39 Новая версия systemd 213 с поддержкой [,,,]
* Добавлен фоновый процесс systemd-resolved, который работает совместно с systemd-ne[,,,]
>Получается, dnsmasq еще при Екатерине работал?
Нет.
| | |
|
| |
| 7.50, Аноним (-), 13:52, 03/10/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> sd-resolve - 1 уязвимость за 3 года - 0.3 уязвимости в год.
А это ненужно кто-то аудитил?
| | |
| 7.51, Andrey Mitrofanov (?), 13:55, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> За в 49 раз меньшее время?...
> Ну, если вы так хотите учитывать _всё_ время...
> dnsmasq - 19 уязвимостей за 16 лет
> sd-resolve - 1 уязвимость за 3 года - 0.3 уязвимости в год.
А во всём s-d? ...а в переложении на человеко-голово-час пользователей?! ...и на attack-surface per <...ну, придумайте сами что-нибудь...>? ><XXX8>
| | |
|
|
|
|
|
| 2.8, KonstantinB (ok), 22:46, 02/10/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
 dnsmasq wildcard - удобная штука для разработки, особенно когда субдоменов полно (скажем, проект типа жж, где у каждого пользователя свой домен) и в etc/hosts все не пропишешь.
Можно, конечно, и bind локально поднять, но это из пушки по воробьям все же.
| | |
| 2.14, Серёга (?), 23:32, 02/10/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
А зря. Очень удобная штука: ему можно легко прописать, куда за чем ходить. Ещё можно повесить пару-тройку dnscrypt-proxy на 127.0.X.Y и сказать dnsmasq, что спрашивать нужно там.
Дыры, в общем, неприятные, но максимум, что могут сделать, если конечно dnasmasq под контроль возьмут — узнать, куда хожу или подсунуть левый адрес.
В роутерах — хуже. Там, поди, dnsmasq из-под рута...
| | |
| 2.24, glebiao (ok), 07:27, 03/10/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 зря, исключительно правильная и удобная штука
зы: уязвимости во всём забодали, жить страшно :(
| | |
| 2.32, Аноним (-), 10:03, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– | |
я применяю на серевере, а там 7ой альт...
будет обновление или самому собирать?
| | |
| |
| 3.66, Michael Shigorin (ok), 17:03, 07/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > я применяю на серевере, а там 7ой альт...
> будет обновление или самому собирать?
Ну повесьте на него что-нить в bugzilla, но если backup && dist-upgrade неохота -- то оперативней самому (пока 2.78 только до сизифа долетел, я бы при такой нужде его srpm и пересобирал).
Вообще-то по поддержке p7 все сроки уже год назад вышли: http://altlinux.org/branches/p7 -- так что если что там обновляется, то по доброй воле майнтейнеров... (как вон и в 5.1/t6 до сих пор сборки попадают)
| | |
|
| 2.39, Аноним (-), 12:24, 03/10/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Как-то и не торопился его применять где-либо...
А сделай-ка всё-таки pgrep dnsmasq
| | |
| |
| 3.65, Michael Shigorin (ok), 17:00, 07/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Как-то и не торопился его применять где-либо...
> А сделай-ка всё-таки pgrep dnsmasq
И кто бы мне его поставил? ;-)
| | |
|
| 2.62, Ilya Indigo (ok), 11:58, 04/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Самое то для поднятия на ноуте Wi-Fi Access Point.
P.S. А где же одна из ваших коронных фраз, оканчивающаяся на "говорили они" или "не актуально"? :-)
| | |
| |
| 3.63, Andrey Mitrofanov (?), 12:26, 04/10/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> P.S. А где же одна из ваших
Оно не его. [мопед, да~] Мне кажется, Михаилу хватило вкуса не штамповать шаблоны сверх меры. Ну, эти безликие фразы, по кр.мере. В отличие от клуба его "поклонников"...
>коронных фраз, оканчивающаяся на "говорили
> они" или "не актуально"? :-) | | |
|
|
| 1.7, Аноним (7), 22:42, 02/10/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Правильно ли я понимаю, что для эксплуатации CVE-2017-14491 нужно, чтобы сначала dnsmasq быть явно настроен на форвардинг DNS-запросов на DNS-сервер злоумышленника? Рекурсивно dnsmasq работать не умеет.
| | |
| |
| 2.10, Аноним (-), 22:53, 02/10/2017 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Для эксплуатации нужно иметь какой-нибудь домен, DNS сервер для него и на каком-нибудь сайте, который у вас открыт в браузере, много-много раз открывать URL с этим доменом, отправляя ответы, которые в какой-то момент перезапишут память.
Как отключить чертов dnsmasq к херам?
| | |
| |
| 3.19, Elhana (ok), 02:16, 03/10/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
 По минимуму достаточно просто выпилить его, но без кеша все будет чуток медленнее (зависит от ваших интернетов).
| | |
| |
| 4.28, пох (?), 09:50, 03/10/2017 [^] [^^] [^^^] [ответить]
| –8 +/– |
> По минимуму достаточно просто выпилить его, но без кеша все будет чуток
> медленнее (зависит от ваших интернетов).
только у стардальцев с опенсорсием. В современные операционные системы собственный dns-кэш встроен (в отличие от nscd не подлежащий немедленному искоренению), еще один кривой на дороге им не нужен.
другое дело, что это автоматически открывает поле для уже на них ориентированных эксплойтов.
| | |
|
|
| 2.11, Аноним (-), 22:54, 02/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
Нет.
"It allows an attacker who can make DNS requests to dnsmasq, and who controls the contents of a domain, which is thereby queried, to overflow a heap buffer and either crash, or even take control of, dnsmasq"
| | |
| |
| 3.12, Аноним (7), 23:06, 02/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
libdns из bind ответы PoC-скрипта рубит ("name too long"). То есть, по меньшей мере, если в качестве рекурсивного DNS используется bind, то кривой ответ до dnsmasq не дойдет.
| | |
| |
| 4.13, Аноним (-), 23:19, 02/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Точно, днсмаск же не голой задницей в интернет смотрит, фффууууух. Паника отменяется. Спасибо.
| | |
| |
| 5.16, ACCA (ok), 23:52, 02/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Ну-ну.
Из своей локальной сети заходишь на форум с любимыми котиками. Один из котиков вроде бы лежит на сайте http://nothing-suspicious-public-net-54321-uk-tw.sg. NS для nothing-suspicious-public-net-54321-uk-tw.sg показывает на 1.1.2.3.
Твой dnsmasq отправляет "ANY nothing-suspicious-public-net-54321-uk-tw.sg" на 1.1.2.3, а в ответ получает нечто неожиданное.
Дальше продолжать?
| | |
| |
| 6.18, Аноним (-), 00:38, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
На провайдерский, гугловский или офисный рекурсивный он пошлёт. Дефолтные днсмаски не хинтят, а используют конфиг сети, типа резолвконф и тд
| | |
| |
| 7.60, ACCA (ok), 23:21, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
> На провайдерский, гугловский или офисный рекурсивный он пошлёт. Дефолтные днсмаски не хинтят,
> а используют конфиг сети, типа резолвконф и тд
Ну, атака против умников, которые
[li]не хотят получать от провайдера "подсказки для неправильно написанного имени"
[li]не хотят открывать гуглу, куда они лазят
| | |
|
|
|
|
|
| 2.26, пох (?), 09:38, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Правильно ли я понимаю, что для эксплуатации CVE-2017-14491 нужно, чтобы сначала dnsmasq
> быть явно настроен на форвардинг DNS-запросов на DNS-сервер злоумышленника?
я бы проверил, не сожрет ли он любое гуано, пришедшее ему в 53й порт. В крайнем случае - придется потрахаться, выясняя, какие в нем настроены форвардеры (обычно выбирай один из одного - 8.8.8.8, не промахнешься - заодно оно объедет файрвол, даже если он и был, а не dnsmasq на недоразумении в роли фиревола, selinux, stack protector и прочие нежности не поместились в виду недостатка мощности и памяти). Это udp, детка. Если 8.8.8.8 не работает, то, конечно, придется поискать мишень попроще - а эту оставить скрипткиддям из соседнего блока (провайдер общий, так что они точно знают, какой у него dns, зачем тратить свое время и отбирать у детей сладости ;-)
| | |
| |
| 3.36, Аноноим (?), 12:01, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
Вот только придется повозиться, ловя момент запроса. Нужен либо снифф, либо контроль над инициатором запроса.
| | |
| |
| 4.46, пох (?), 13:41, 03/10/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Вот только придется повозиться, ловя момент запроса.
зачем? Просто потоком туда слать полезные пакеты от имени гугля, рано или поздно попадешь.
(это если оно вообще умеет как-то фильтровать, что совсем вот не факт)
> Нужен либо снифф, либо контроль над инициатором запроса.
не, точно не нужен. Нужно либо просто (не так уж и)много пакетов, либо вообще одного хватит.
| | |
| |
| 5.49, Аноним (-), 13:51, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
> зачем? Просто потоком туда слать полезные пакеты от имени гугля, рано или
> поздно попадешь.
> (это если оно вообще умеет как-то фильтровать, что совсем вот не факт)
Отсекается стандартной конфигурацией фаервола --state ESTABLISHED,RELATED (да, conntrack трассирует соединения даже в тех протоколах, где их нет - UDP, ICMP).
| | |
| |
| 6.54, пох (?), 15:31, 03/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Отсекается стандартной конфигурацией фаервола
нет, не отсекается, наоборот, пробивает даже nat. поскольку мне надоело бороться с местной модерацией, думайте сами, на то и голова дана.
| | |
| |
| 7.55, пох (?), 15:32, 03/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> нет, не отсекается, наоборот, пробивает даже nat.
именно за счет conntrack'а, разумеется. (впрочем, upnp тоже пробьет)
| | |
|
|
|
|
|
|
| 1.20, qsdg (ok), 03:50, 03/10/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Слушайте, когда нужно перегружать систему после обновления пакетов? С кернелом понятно, что нужно перегружать. С программами типа GIMP тоже понятно -- рестартовать прогу и всё. А как насчёт всяких либ? Хочу быть уверенным что не продолжаю сидеть на дыре.
| | |
| |
| 2.22, Аноним (-), 05:24, 03/10/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
needrestart/oldstable 1.2-8+deb8u1 all
check which daemons need to be restarted after library upgrades
| | |
| |
| 3.68, Andrey Mitrofanov (?), 09:57, 10/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
> needrestart/oldstable 1.2-8+deb8u1 all
> check which daemons need to be restarted after library upgrades
# { lsof |grep \ DEL\ |egrep /lib\|bin/|grep -v '#prelink#' |sort ;} 2>&1 |less -S
//да, не только демонов покажет, но и, например, firefox (кууча разнообразных названий нитей) и evince, запущенные "давно".
Только "не перегружать систему", а перестартовать приложения.
| | |
|
| 2.29, пох (?), 09:53, 03/10/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Слушайте, когда нужно перегружать систему после обновления пакетов?
поставь себе уже _нормальную_ систему, а?
suse умеет сказать, когда именно и что нужно перезагружать (и, если это не ведро - не перезагружать вовсе, а перезапускать сервисы поштучно) с 2005го года точно, а вероятнее и с 1998го, 5.какаято.
****, вроде, после торжественных похорон дохлой собаки, замененной на непоймичто, обещала научиться (не прошло и двадцати лет) - неужели воз и ныне там?
(кто-то из модерастов - гомофил?)
| | |
| |
| 3.31, анон (?), 10:01, 03/10/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Переведите, пожалуйста. Похороны дохлой собаки?? Гомофил???
плз не удаляйте, пока не переведет, интересно же.
| | |
| |
| 4.34, Аноним (-), 10:13, 03/10/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чтобы понять это, вам нужно было тусоваться на ОпенНете ежедневно с 8 до 24 в течении 10 лет... По-моему, ОпенНету уже нужна своя Лурка.
| | |
| 4.35, Аноним (-), 10:29, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
Догадываюсь, что собака - это Yellowdog Update Manager. Насчёт остального не знаю.
| | |
| 4.44, пох (?), 13:39, 03/10/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
ну да, про собаку правильно поняли, а звездочками (из-за которых стало, действительно, неочевидно) пришлось заменить обычно употребляемый мной омоним к слову федора, отражающий ориентацию ее тусовки - который, видимо, то ли лично задел модератора, то ли робота какого разбудил.
а по сути-то кто может просветить - они этому научились за полтора десятилетия, или все по прежнему?
| | |
| |
| 5.56, _ (??), 17:18, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ох i5! :)
пох, needrestart был замечен в свежей федоре (помогал тут одному 8).
Сузю в последний раз видел в 2009 году, извиняй :)
| | |
| |
| 6.57, пох (?), 17:26, 03/10/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Сузю в последний раз видел в 2009 году, извиняй :)
в 2009м там уже все давно было. То есть любое штатное действие через zypper или графические радости, если после установки обнаруживало проблему, русским английским языком говорило, что именно застряло в памяти и с чем устаревшим связано.
Без всякой необходимости в отдельном пакете именно для этой цели.
| | |
|
|
|
|
|
|
