The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.06.2017 09:31  Уязвимость в systemd-resolved

В systemd-resolved, поставляемом в составе systemd кэширующем DNS-резолвере, выявлена уязвимость (CVE-2017-9445), которая потенциально может привести к выполнению кода при обработке специально оформленного ответа от DNS-сервера, подконтрольного злоумышленнику. Проблема вызвана ошибкой в расчёте размера памяти для обработки запроса, которая может привести к тому, что TCP-ответ не уместится в выделенный буфер.

Проблеме подвержены версии systemd с 223 по 233 включительно. Обновление с устранением проблемы выпущено для Fedora Linux и Ubuntu, но пока недоступно для Debian Stretch. Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.

  1. Главная ссылка к новости (http://seclists.org/oss-sec/20...)
  2. OpenNews: В systemd 228 обнаружена локальная root-уязвимость
  3. OpenNews: Локальная DoS-уязвимость в systemd
  4. OpenNews: Релиз systemd 231
  5. OpenNews: Релиз systemd 232
  6. OpenNews: Релиз systemd 233
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: systemd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 09:39, 28/06/2017 [ответить] [смотреть все]
  • +18 +/
    Вопрос: а нафига он вообще нужен?
     
     
  • 2.4, Andrey Mitrofanov, 09:47, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    s-d не нужен -- просто его продят и наяривают так, что слабые на ок анонимы ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Аноним, 10:25, 28/06/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    анонимы в восторге я аноним и я пропагандирую здоровый образ жизни без s-d а в... весь текст скрыт [показать]
     
     
  • 4.23, Andrey Mitrofanov, 10:49, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Мало ли в Бразилии донов Педров ц Некоторые слабы на https ru wikipedia o... весь текст скрыт [показать]
     
  • 2.5, A.Stahl, 09:50, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +15 +/
    Чтобы не отсылать чёрт знает куда запросы на резолв на каждый чих. Так у тебя на локалхосте будет свой резолвер с твоими сайтами и околонулевым временем отклика.
    Ефрейтор очевидных войск A.Stahl
     
     
  • 3.8, Аноним, 09:54, 28/06/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Надо полагать других раньше не было?
     
     
  • 4.22, A.Stahl, 10:26, 28/06/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Были другие. И ещё будут другие. Разнообразие -- базис эволюции.
     
     
  • 5.31, Аноним, 12:32, 28/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    а можно выпилить этот и поставить dnsmasq ?
     
     
  • 6.33, Аноним, 12:48, 28/06/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Можно, но dnsmasq отсылает запросы к вышестоящим резолверам не параллельно, а по... весь текст скрыт [показать]
     
     
  • 7.34, A.Stahl, 12:50, 28/06/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Т е ты хочешь сказать что resolved лучше старого решения Де тебе сейчас аноним... весь текст скрыт [показать]
     
     
  • 8.36, Аноним, 12:52, 28/06/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Аноним анониму глаз не выцарапает ... весь текст скрыт [показать]
     
  • 7.40, Andrey Mitrofanov, 13:56, 28/06/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    > Можно, но dnsmasq отсылает запросы к вышестоящим резолверам не параллельно, а последовательно,
    > так что если первый из них не отвечает, имеем гарантированное подвисание.

    man dnsmasq на предмет --all-servers.

    > Кроме того, если первый резолвер ответил NOTFOUND, то считается, что такого домена
    > не существует. resolved при наличии

    man dnsmasq на предмет --no-negcache.

    > его. Таким образом можно, например,

     
     
  • 8.57, Аноним, 15:54, 28/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Просто твой собеседник, как и поцтер, маны не читает Но собеседник горазд тольк... весь текст скрыт [показать]
     
     
  • 9.83, Аноним, 20:15, 28/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Я болею за Лёню. Надеюсь, у него получится.
     
  • 9.90, Аноним, 20:53, 28/06/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Чтобы мейнстримный линукс сдох, он сначала должен родиться, но процесс этого рож... весь текст скрыт [показать]
     
     
  • 10.91, Аноним, 21:10, 28/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ты его то ли не застал, не успев родиться, то ли фантазируешь над устаревшей мет... весь текст скрыт [показать]
     
  • 8.101, user455, 23:45, 28/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    но разве это то же самое т е это отключает кеширование no such domain а ту... весь текст скрыт [показать]
     
  • 7.47, Elhana, 14:29, 28/06/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Если вам нужен кешер и локальный днс, то локальный bind может спокойно быть и те... весь текст скрыт [показать]
     
     
  • 8.64, Аноним, 16:43, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Как уже выше заметил один, разнообразие 8212 базис эволюции А то так вы сейч... весь текст скрыт [показать]
     
     
  • 9.71, Pse, 17:44, 28/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Беспричинной - хорошая шутка, Анон ... весь текст скрыт [показать]
     
  • 9.79, 111, 19:31, 28/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Проблема, как раз в том, что разнообразие страдает из-за того, что ЭТО из систем... весь текст скрыт [показать]
     
     
  • 10.103, Аноним, 07:01, 29/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Элементарно выкидывается установкой USE флага -systemd в нормальной OS ... весь текст скрыт [показать]
     
  • 9.84, Аноним, 20:17, 28/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Конечно же нет Свора тявкающих шавок вокруг слона полезна - она не даёт слону р... весь текст скрыт [показать]
     
  • 9.95, Elhana, 23:00, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    При чем тут вообще ненависть, если resolvd в данном конкретном случае лишнее зве... весь текст скрыт [показать]
     
     
  • 10.98, username, 23:15, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Я тот самый админ с интранетом Лёне привет, удалил этот рак из дистрибутива по ... весь текст скрыт [показать]
     
  • 7.99, username, 23:21, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Да, последовательно А проблема существует Клиент в один момент времени запраши... весь текст скрыт [показать]
     
  • 7.100, username, 23:30, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Читай зачем нужны опции в resolv conf Так и должно отвечать, мало того много чег... весь текст скрыт [показать]
     
  • 7.104, rpm, 07:02, 29/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А если ответят оба резолвера и ответ будет разный?
     
  • 7.106, Аноним, 07:31, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    А юный хакер майор полиции подрабатывающий в провайдере google dns yandex dns sk... весь текст скрыт [показать]
     
  • 7.116, Линус, 07:28, 30/06/2017 [^] [ответить] [смотреть все]  
  • +/
    ну-ну пакеты с запросами тоже одновременно из твоего интернета вылетают ... весь текст скрыт [показать]
     
  • 3.13, Andrey Mitrofanov, 10:01, 28/06/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Нет, для этого всегда был нужен bind 4 8, 4 9, сейчас вот dnsmasq на всех на... весь текст скрыт [показать]
     
     
  • 4.25, Аноним, 11:18, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Да ладно, на кой мне это г на локалхост, пусть на сервере крутятся Каждый до... весь текст скрыт [показать]
     
  • 4.35, Аноним, 12:50, 28/06/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    А зачем теперь тащить в систему левый dnsmasq, если рекурсивный резолвер есть в ... весь текст скрыт [показать]
     
     
  • 5.41, Andrey Mitrofanov, 13:59, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Где Можно без и пр el6 и el7 С одним конфиом -- так и вообще хорошо ... весь текст скрыт [показать]
     
  • 4.37, PnDx, 13:01, 28/06/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    bind Кэшером на localhost Да ещё 4 x это из каких годов Не-не В тех годах,... весь текст скрыт [показать]
     
     
  • 5.68, Мимоанон, 17:29, 28/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А можно узнать в чем собсвенно столько хейта bind Дома 600тыс зон держать не ну... весь текст скрыт [показать]
     
     
  • 6.74, PnDx, 18:14, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    0 А хейт тут причём 1 bind4 Тест на внимательность 2 Комбайн, с подозре... весь текст скрыт [показать]
     
     
  • 7.109, Мимоанон, 08:07, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    речь идет про возможность создания авторитативного сервера не согласен куда п... весь текст скрыт [показать]
     
  • 6.112, Аноним, 12:26, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    А есть причины забивать гвозди микроскопом ... весь текст скрыт [показать]
     
  • 4.49, кверти, 14:30, 28/06/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Ну да, я сейчас разогнался ставить bind на десктоп, ага...Совсем клоун?
     
     
  • 5.52, Crazy Alex, 14:54, 28/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А что здесь такого?
     
  • 5.54, Andrey Mitrofanov, 15:14, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Можешь не приходить, вычёркиваю Для раздражающихся поясняю не про вас, почте... весь текст скрыт [показать]
     
     
  • 6.72, кверти, 17:56, 28/06/2017 [^] [ответить] [смотреть все]  
  • –7 +/
    Ты и тебе подобные просто хэйтеры systemd и поттеринга в часности Из ваших уст ... весь текст скрыт [показать]
     
     
  • 7.80, Andrey Mitrofanov, 20:04, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Конечно, пусть будет конкурентом Полностью согласен С успехом им не пользуюсь ... весь текст скрыт [показать]
     
  • 3.111, Аноним, 12:24, 29/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Для того давным-давно придуман nscd ... весь текст скрыт [показать]
     
  • 2.60, Аноним, 16:18, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Вопрос: а нафига он вообще нужен?

    systemd?

     
  • 1.6, Аноним, 09:51, 28/06/2017 [ответить] [смотреть все]  
  • +9 +/
    > в составе systemd кэширующем DNS-резолвере

    Зачем иниту DNS?

     
     
  • 2.7, Аноним, 09:52, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/

    > Зачем иниту DNS?

    Systemd - это не инит.

     
     
  • 3.14, Andrey Mitrofanov, 10:04, 28/06/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    >> Зачем иниту DNS?
    > Systemd - это не инит.

    +1 "Этот-то? Да какой он инит."

    Диалог у ворот рая:
    --Правда, что программеров р рай не пускают?
    --Правда.
    --А как же этот. [кивает на гуляющего за оградкой Б.Г.]
    --Этот-то? Да какой он программист!

     
     
  • 4.53, Аноним, 15:11, 28/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Б.Г.? Бориса Гребенщикова что-ли? Почему не Л.П.?
     
     
  • 5.107, Аноним, 07:58, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Чёт вспомнил анекдот про "конину 6лядскую".
     
  • 3.19, Аноним, 10:22, 28/06/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    Правильно. Это - религия.
     
     
  • 4.24, Andrey Mitrofanov, 10:51, 28/06/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    > Правильно. Это - религия.

    Карго-культо-секта же.

     
  • 3.61, Аноним, 16:24, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Он уже почти ОС Скоро собой заменит GNU, будем писать Systemd Linux ... весь текст скрыт [показать]
     
     
  • 4.86, Аноним, 20:24, 28/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Будете писать, если не вас разгонят.


     
  • 2.9, Аноним, 09:55, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    зачем анониму ноги, и без них можно на кнопки нажимать?
     
     
  • 3.11, Аноним, 09:59, 28/06/2017 [^] [ответить] [смотреть все]  
  • +8 +/
    Поправлю тебя.
    >Зачем анонимусу на руки ещё одни ноги?
     
  • 3.45, Аноним, 14:14, 28/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Зачем анониму руки, растущие оттуда же, откуда и ноги ... весь текст скрыт [показать]
     
  • 1.10, Сергей, 09:59, 28/06/2017 [ответить] [смотреть все]  
  • –5 +/
    Никто похоже и не проверял systemd на дыры... Имеем пока первую...
     
     
  • 2.15, gogo, 10:08, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Низкопробный троллинг.
     
  • 2.16, Аноним, 10:11, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Далеко не первая https://www.opennet.ru/opennews/art.shtml?num=45908
     
  • 2.17, Andrey Mitrofanov, 10:12, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Слово ремотную не вижу я в твоём тупом посте 24 01 2017 16 48 В systemd 228 ... весь текст скрыт [показать] [показать ветку]
     
  • 2.44, Аноним84701, 14:12, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    С разморозкой Добро пожаловать в 2017 https security-tracker debian org trac... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Клыкастый, 14:29, 28/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    вот зачем ты человеку сломал жизнь?
     
  • 3.102, Аноним, 00:10, 29/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Дыра CVE-2012-1101 настолько ужасна, что у автора списка даже слов не нашлось дл... весь текст скрыт [показать]
     
  • 1.38, миливольт, 13:01, 28/06/2017 [ответить] [смотреть все]  
  • +3 +/
    > Проблема не затрагивает Red Hat Enterprise Linux 7 и производные дистрибутивы.

    Ибо, systemd там банально не свеж )

     
  • 1.65, yet another anonymous, 17:07, 28/06/2017 [ответить] [смотреть все]  
  • +/
    Давайте попробую объяснить, зачем он притащил резолвер. (Дисклаймер: текст далее не отменяет того, что Л.П. м...к).

    На (достаточно) ранней стадии подъема системы приходит время получить ip по dhcp.
    Поскольку dhcp-клиент всунут в s-d, то прописывать что-то в resolv.conf и задействовать libresolv --- не по фэншую.
    А там и всякие туннели/авторизации/бриджи. И хочется написать в конфиге

    dhcp.mycompany.com

    а не 10.0.64.1, да и DNS запросы-ответы --- вещь асинхронная, если пустить всё через одну (single) точку, то разруливать, казалось бы, легче.


     
  • 1.75, Аноним, 18:19, 28/06/2017 [ответить] [смотреть все]  
  • –2 +/
    Да ладно вам, у bind не давно была аналогичная проблема при не правильном резолв... весь текст скрыт [показать]
     
     
  • 2.78, Аноним, 19:28, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а они код копипастят руками, а не тянут из чужой vcs в сборке, потому что на пло... весь текст скрыт [показать] [показать ветку]
     
  • 2.89, Andrey Mitrofanov, 20:37, 28/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Пока вы этим занимаетесь, проверьте ещё на все ошибки ipsec, ipv6, гонки приза... весь текст скрыт [показать] [показать ветку]
     
  • 1.92, Аноним, 21:14, 28/06/2017 [ответить] [смотреть все]  
  • +1 +/
    Похоже Лёня не осилил запустить nscd(
     
     
  • 2.108, Аноним, 08:02, 29/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вобшет nscd занимается не только и не столько dns ом A daemon which handles pa... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.113, Аноним, 12:32, 29/06/2017 [^] [ответить] [смотреть все]  
  • +/
    И что?
     
  • 1.110, Аноним, 08:37, 29/06/2017 [ответить] [смотреть все]  
  • –1 +/
    Продолжаем писать на сишечке, чо Необучаемость зашкаливает ... весь текст скрыт [показать]
     
     
  • 2.115, J.L., 19:45, 29/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    два чая этому господину ... весь текст скрыт [показать] [показать ветку]
     
  • 2.117, iZEN, 12:02, 30/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Удваиваю Величайшее изобретение сишников Алгоритм маляра Шлемиля для обработк... весь текст скрыт [показать] [показать ветку]
     
  • 1.118, Аноним, 10:13, 02/07/2017 [ответить] [смотреть все]  
  • +/
    другим подгаживают потихоньку ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor