glibc: Schwergewichtige Lücke in Linux
- Ersteller Frogman
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
auch keinen Client, der dnssec abfragen kann/will? Weil dnssec ist mit dieser Regel tot 
Strenggenommen ist das auch kein Workaround sondern ein Würgaround
Als Grenze für den Exploit werden 2048 bytes empfohlen: https://isc.sans.edu/forums/diary/CVE20157547+Critical+Vulnerability+in+glibc+getaddrinfo/20737/
Wobei auch das u.U. bestimmte DNSSec resp EDNS0 totschiessen wird. Aber sicher gibt es mit 2048bytes weniger Impact auf DNSSec, mit 512 ist das komplett tot. Wenn dein lokaler Resolver DNSSec aktiviert hat, dann wirste Probleme bekommen Seiten zu erreichen, welche mit DNSSec gesichert sind. Wenn du Glück hast wird das ganze nur langsamer, weil der Resolver beim Ausbleiben der Antwort EDNS0 und damit DNSSec deaktiviert und wenn du Pech hast erreichst du diese Seiten nimmer.
Strenggenommen ist das auch kein Workaround sondern ein Würgaround Als Grenze für den Exploit werden 2048 bytes empfohlen: https://isc.sans.edu/forums/diary/CVE20157547+Critical+Vulnerability+in+glibc+getaddrinfo/20737/
Wobei auch das u.U. bestimmte DNSSec resp EDNS0 totschiessen wird. Aber sicher gibt es mit 2048bytes weniger Impact auf DNSSec, mit 512 ist das komplett tot. Wenn dein lokaler Resolver DNSSec aktiviert hat, dann wirste Probleme bekommen Seiten zu erreichen, welche mit DNSSec gesichert sind. Wenn du Glück hast wird das ganze nur langsamer, weil der Resolver beim Ausbleiben der Antwort EDNS0 und damit DNSSec deaktiviert und wenn du Pech hast erreichst du diese Seiten nimmer.
dany
Benutzer
- Registriert
- 31. März 2008
- Beiträge
- 352
- Reaktionspunkte
- 0
- Punkte
- 22
stimmt, da war ich zu vorschnell. Dazu connbytes der falsche Ansatz ist. Richtig wäre es mit length
iptables -I INPUT -p udp --sport 53 -m length --length 2048: -j DROP
iptables -I INPUT -p tcp --sport 53 -m length --length 2048: -j DROP
iptables -I INPUT -p udp --sport 53 -m length --length 2048: -j DROP
iptables -I INPUT -p tcp --sport 53 -m length --length 2048: -j DROP
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
