glibc getaddrinfo (CVE-2015-7547) vulnerabilidad: ¿debería actualizar glibc si no configuro el DNS?

1

Recientemente, Googly descubrió la vulnerabilidad de glibc getaddrinfo (CVE-2015-7547): enlace

Ejecutamos nuestra aplicación en CentOS 6. He encontrado aquí lo siguiente: enlace

Note: this issue is only exposed when libresolv is called from the
nss_dns NSS service module. (CVE-2015-7547)

¿Debo actualizar glibc si no configuro DNS? Tengo lo siguiente en /etc/resolv.conf

nameserver 127.0.0.1
    
pregunta Michael 17.02.2016 - 06:22
fuente

2 respuestas

7
  

¿Debo actualizar glibc si deshabilito el servicio DNS?

     

¿Debo actualizar glibc si habilito el servicio DNS?

El servicio DNS se trata de ejecutar su propio servidor DNS. Este error no está relacionado con esto, sino que está relacionado con las búsquedas de DNS realizadas por las aplicaciones, es decir, su navegador busca la dirección IP de un sitio en función del nombre de host en la URL. Por lo tanto, sí, necesitas actualizar.

  

¿Debo actualizar glibc si no configuro DNS? Tengo lo siguiente en /etc/resolv.conf

A menos que el servidor de nombres en 127.0.0.1 sea un servidor que le proteja este tipo de ataques, debería actualizar. Tenga en cuenta que de acuerdo con redhat el dnsmasq habitual, etc. probablemente no lo protegerá completamente:

  
  1. ¿Puede un solucionador de DNS de confianza protegerse contra este problema?   Un resolvedor confiable, en una configuración predeterminada que cumple con el protocolo, no puede mitigar este problema porque las posibles vulnerabilidades pueden incluir respuestas de DNS bien formadas sintácticamente.
  2.   
    
respondido por el Steffen Ullrich 17.02.2016 - 07:45
fuente
1

¿Por qué no deberías actualizar? Normalmente evalúo la necesidad de actualizar o no dependiendo de si afecta nuestra infraestructura, sin embargo, en este caso, no hay dudas al respecto. Además, está clasificado como crítico. Tener 127.0.0.1 no significa que no tenga DNS, por ejemplo, podría estar apuntando a un dnsmasq. Como han dicho otros, el DNS está en todas partes.

Incluso sin apuntar a un servidor DNS, teóricamente sería posible tener un compromiso a través de una aplicación local (o un usuario local deshonesto), explotando una vía de compromiso para escalar sus privilegios a otro usuario.

    
respondido por el Rui F Ribeiro 17.02.2016 - 10:15
fuente

Lea otras preguntas en las etiquetas