¿Puede ser vulnerable a la vulnerabilidad de glibc en getaddrinfo si confía en su DNS?

-1

He leído que la vulnerabilidad se desencadena por una respuesta de DNS. ¿Cómo puedes ser vulnerable si confías en tus servidores DNS?

¿Pueden sus servidores DNS redirigir su solicitud a otro DNS que pueda ser malicioso? ¿No es el DNS el que pregunta a esos otros servidores DNS y le da la respuesta? ¿La respuesta maliciosa puede atravesar su DNS de confianza y explotarlo?

    
pregunta Eloy Roldán Paredes 19.02.2016 - 08:34
fuente

1 respuesta

3

Si bien es poco convincente citar a un tercero, el informe de Redhat en realidad contiene respuestas claras a sus preguntas. En la parte de preguntas frecuentes de enlace :

  
  1. ¿Puede un solucionador de DNS recursivo confiable protegerse contra este problema?
    Un resolutor recursivo de confianza, en una configuración predeterminada que cumple con el protocolo, no puede mitigar este problema porque las posibles explotaciones podrían implicar respuestas de DNS bien formadas sintácticamente. La restricción de tamaños de respuesta a 1023 bytes puede mitigar el problema si la red entre el resolutor recursivo y los clientes que usan las versiones afectadas de glibc es confiable, y los posibles atacantes no pueden falsificar la dirección de origen del resolutor recursivo. Las restricciones de tamaño del paquete deben aplicarse a las respuestas que genera el resolutor recursivo, no a las respuestas que recibe de Internet. Tales restricciones de tamaño de paquete rompen algunos servicios relacionados con DNS, incluyendo DNSSEC. Aparte del aspecto del tamaño, no hay forma de que los recursores de DNS detecten y bloqueen el tráfico de ataques.

  2.   
  3. ¿Es suficiente actualizar los servidores DNS orientados a Internet y los resolutores recursivos?
    No , los paquetes glibc en todos los hosts (tanto servidores como clientes) ) necesitan actualizarse.

  4.   

Pero en caso de que solo tenga una red interna que no tenga acceso al exterior (lo que significa que tampoco haya acceso directo o indirecto al exterior para los servidores DNS) y confía en la configuración de su DNS y no es vulnerable al DNS la suplantación de identidad entonces probablemente debería estar seguro porque es imposible para un atacante controlar parcialmente las respuestas de DNS dentro de su red.

    
respondido por el Steffen Ullrich 19.02.2016 - 08:46
fuente

Lea otras preguntas en las etiquetas