glibc: Schwergewichtige Lücke in Linux
- Ersteller Frogman
- Erstellt am
- Status
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
auch keinen Client, der dnssec abfragen kann/will? Weil dnssec ist mit dieser Regel tot 
Strenggenommen ist das auch kein Workaround sondern ein Würgaround
Als Grenze für den Exploit werden 2048 bytes empfohlen: https://isc.sans.edu/forums/diary/CVE20157547+Critical+Vulnerability+in+glibc+getaddrinfo/20737/
Wobei auch das u.U. bestimmte DNSSec resp EDNS0 totschiessen wird. Aber sicher gibt es mit 2048bytes weniger Impact auf DNSSec, mit 512 ist das komplett tot. Wenn dein lokaler Resolver DNSSec aktiviert hat, dann wirste Probleme bekommen Seiten zu erreichen, welche mit DNSSec gesichert sind. Wenn du Glück hast wird das ganze nur langsamer, weil der Resolver beim Ausbleiben der Antwort EDNS0 und damit DNSSec deaktiviert und wenn du Pech hast erreichst du diese Seiten nimmer.
Strenggenommen ist das auch kein Workaround sondern ein Würgaround Als Grenze für den Exploit werden 2048 bytes empfohlen: https://isc.sans.edu/forums/diary/CVE20157547+Critical+Vulnerability+in+glibc+getaddrinfo/20737/
Wobei auch das u.U. bestimmte DNSSec resp EDNS0 totschiessen wird. Aber sicher gibt es mit 2048bytes weniger Impact auf DNSSec, mit 512 ist das komplett tot. Wenn dein lokaler Resolver DNSSec aktiviert hat, dann wirste Probleme bekommen Seiten zu erreichen, welche mit DNSSec gesichert sind. Wenn du Glück hast wird das ganze nur langsamer, weil der Resolver beim Ausbleiben der Antwort EDNS0 und damit DNSSec deaktiviert und wenn du Pech hast erreichst du diese Seiten nimmer.
dany
Benutzer
- Mitglied seit
- 31. Mrz 2008
- Beiträge
- 352
- Punkte für Reaktionen
- 0
- Punkte
- 22
stimmt, da war ich zu vorschnell. Dazu connbytes der falsche Ansatz ist. Richtig wäre es mit length
iptables -I INPUT -p udp --sport 53 -m length --length 2048: -j DROP
iptables -I INPUT -p tcp --sport 53 -m length --length 2048: -j DROP
iptables -I INPUT -p udp --sport 53 -m length --length 2048: -j DROP
iptables -I INPUT -p tcp --sport 53 -m length --length 2048: -j DROP
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
