<div dir="auto"><div>Su Debian Jessie per armi ho aggiornato stamattina e c'è ancora la 2.72 dal repo Security...</div><div dir="auto"><div class="gmail_extra" dir="auto"><br><div class="gmail_quote">Il 04 ott 2017 11:28 AM, "Claudio Pisa" <<a href="mailto:clauz@ninux.org">clauz@ninux.org</a>> ha scritto:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">FYI<br>
<br>
<br>
-------- Forwarded Message --------<br>
Subject: [LEDE-DEV] Severe dnsmasq vulnerabilities affecting LEDE<br>
Date: Tue, 3 Oct 2017 21:08:16 +0200<br>
From: Jo-Philipp Wich <<a href="mailto:jo@mein.io">jo@mein.io</a>><br>
To: LEDE Development List <<a href="mailto:lede-dev@lists.infradead.org">lede-dev@lists.infradead.org</a>><wbr>, LEDE Project<br>
Administration <<a href="mailto:lede-adm@lists.infradead.org">lede-adm@lists.infradead.org</a>><br>
<br>
The Google security team identified a number of critical security<br>
issues present in dnsmasq, the embedded DNS and DHCP server used by<br>
LEDE as well as many other different open and proprietary firmwares and<br>
network appliances.<br>
<br>
A total of six different flaws affecting both DNS and DHCP<br>
functionality have been identified in dnsmasq versions up to v2.77:<br>
<br>
 - CVE-2017-14491 - Remote code execution, through DNS,<br>
                    due to heap overflow<br>
 - CVE-2017-14492 - Remote code execution, through DHCP,<br>
                    due to heap overflow<br>
 - CVE-2017-14493 - Remote code execution, through DHCP,<br>
                    due to stack overflow<br>
 - CVE-2017-14494 - Information leak, through DHCP,<br>
                    potentially weakening ASLR<br>
 - CVE-2017-14495 - Denial of service, through DNS,<br>
                    out-of-memory due missing free()<br>
 - CVE-2017-14496 - Denial of service, through DNS,<br>
                    integer underflow causing huge memcpy()<br>
 - CVE-2017-13704 - Denial of service, through DNS,<br>
                    integer underflow causing service crash<br>
<br>
According to Simon Kelley, the author of dnsmasq, most critical flaws<br>
are present in dnsmasq since a very long time, having even survived a<br>
number of audits.<br>
<br>
The security issues have been fixed in the most recent dnsmasq<br>
version, v2.78, which has been included into both the LEDE master and<br>
lede-17.01 release branches.<br>
<br>
<br>
MITIGATION<br>
<br>
In order to solve the security issues above you can either update the<br>
dnsmasq package through opkg:<br>
<br>
  opkg update<br>
  opkg upgrade dnsmasq<br>
<br>
Or update to a newer LEDE image. Master snapshots newer than revision<br>
r4969-67ac017fef and the upcoming LEDE release 17.01.3 images already<br>
contain a fixed dnsmasq version.<br>
<br>
<br>
WORKAROUND<br>
<br>
There is no secure workaround available, though the attack surface can<br>
be reduced somewhat by disabling the DNS service part of dnsmasq and<br>
only allowing trusted hosts to obtain DHCP leases in the local<br>
network.<br>
<br>
In order to disable the DNS service, issue the following commands:<br>
<br>
  uci set dhcp.@dnsmasq[0].port="0"<br>
  uci add_list dhcp.lan.dhcp_option="6,8.8.8.<wbr>8"<br>
  uci commit dhcp<br>
  /etc/init.d/dnsmasq restart<br>
<br>
This will stop dnsmasq from serving DNS requests and instruct all<br>
DHCP clients to use Google's public DNS server instead of the router<br>
itself for name resolution.<br>
<br>
<br>
REFERENCES<br>
<br>
The orginal article published on the Google security blog:<br>
<a href="https://security.googleblog.com/2017/10/behind-masq-yet-more-dns-and-dhcp.html" rel="noreferrer" target="_blank">https://security.googleblog.<wbr>com/2017/10/behind-masq-yet-<wbr>more-dns-and-dhcp.html</a><br>
<br>
Dnsmasq security notice:<br>
<a href="http://lists.thekelleys.org.uk/pipermail/dnsmasq-discuss/2017q4/011772.html" rel="noreferrer" target="_blank">http://lists.thekelleys.org.<wbr>uk/pipermail/dnsmasq-discuss/<wbr>2017q4/011772.html</a><br>
<br>
Debian security advisory:<br>
<a href="https://www.debian.org/security/2017/dsa-3989" rel="noreferrer" target="_blank">https://www.debian.org/<wbr>security/2017/dsa-3989</a><br>
<br>
______________________________<wbr>_________________<br>
Lede-dev mailing list<br>
<a href="mailto:Lede-dev@lists.infradead.org">Lede-dev@lists.infradead.org</a><br>
<a href="http://lists.infradead.org/mailman/listinfo/lede-dev" rel="noreferrer" target="_blank">http://lists.infradead.org/<wbr>mailman/listinfo/lede-dev</a><br>
______________________________<wbr>_________________<br>
Wireless mailing list<br>
<a href="mailto:Wireless@ml.ninux.org">Wireless@ml.ninux.org</a><br>
<a href="http://ml.ninux.org/mailman/listinfo/wireless" rel="noreferrer" target="_blank">http://ml.ninux.org/mailman/<wbr>listinfo/wireless</a><br>
</blockquote></div><br></div></div></div>