| |
| 2.5, пох (?), 22:22, 02/10/2017 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –18 +/– | |
это типовое решение для г-нороутеров. Как всякой длинковой дряни, так и сделанных админами-самоучками-без-мотора из старого писюка, который уже стыдно ставить секретарше.
| | |
| |
| |
| |
| 5.30, пох (?), 09:57, 03/10/2017 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
> unbound не?
не. Этого неуловимого джо пока особо не ломают просто потому, что никому не сдался.
DoS уязвимости при этом в нем уже несколько раз находили.
| | |
| |
| |
| 7.59, пох (?), 23:12, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– | |
> ЧЯДНТ
нос задираешь не по разуму.
откуда тебе знать, чего я там видел?
Соответственно, и спорить с тобой не о чем. Повзрослеешь, приходи.
| | |
|
|
|
| |
| |
| |
| 7.42, Andrey Mitrofanov (?), 13:23, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
>> За в 49 раз меньшее время?...
> resolved уже года три минимум.
Да.
28.05.2014 23:39 Новая версия systemd 213 с поддержкой [,,,]
* Добавлен фоновый процесс systemd-resolved, который работает совместно с systemd-ne[,,,]
>Получается, dnsmasq еще при Екатерине работал?
Нет.
| | |
|
| |
| 7.51, Andrey Mitrofanov (?), 13:55, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>> За в 49 раз меньшее время?...
> Ну, если вы так хотите учитывать _всё_ время...
> dnsmasq - 19 уязвимостей за 16 лет
> sd-resolve - 1 уязвимость за 3 года - 0.3 уязвимости в год.
А во всём s-d? ...а в переложении на человеко-голово-час пользователей?! ...и на attack-surface per <...ну, придумайте сами что-нибудь...>? ><XXX8>
| | |
|
|
|
|
|
| 2.8, KonstantinB (ok), 22:46, 02/10/2017 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +5 +/– |
 dnsmasq wildcard - удобная штука для разработки, особенно когда субдоменов полно (скажем, проект типа жж, где у каждого пользователя свой домен) и в etc/hosts все не пропишешь.
Можно, конечно, и bind локально поднять, но это из пушки по воробьям все же.
| | |
| 2.14, Серёга (?), 23:32, 02/10/2017 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– | |
А зря. Очень удобная штука: ему можно легко прописать, куда за чем ходить. Ещё можно повесить пару-тройку dnscrypt-proxy на 127.0.X.Y и сказать dnsmasq, что спрашивать нужно там.
Дыры, в общем, неприятные, но максимум, что могут сделать, если конечно dnasmasq под контроль возьмут — узнать, куда хожу или подсунуть левый адрес.
В роутерах — хуже. Там, поди, dnsmasq из-под рута...
| | |
| |
| 3.66, Michael Shigorin (ok), 17:03, 07/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
 > я применяю на серевере, а там 7ой альт...
> будет обновление или самому собирать?
Ну повесьте на него что-нить в bugzilla, но если backup && dist-upgrade неохота -- то оперативней самому (пока 2.78 только до сизифа долетел, я бы при такой нужде его srpm и пересобирал).
Вообще-то по поддержке p7 все сроки уже год назад вышли: http://altlinux.org/branches/p7 -- так что если что там обновляется, то по доброй воле майнтейнеров... (как вон и в 5.1/t6 до сих пор сборки попадают)
| | |
|
| |
| 3.63, Andrey Mitrofanov (?), 12:26, 04/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
> P.S. А где же одна из ваших
Оно не его. [мопед, да~] Мне кажется, Михаилу хватило вкуса не штамповать шаблоны сверх меры. Ну, эти безликие фразы, по кр.мере. В отличие от клуба его "поклонников"...
>коронных фраз, оканчивающаяся на "говорили
> они" или "не актуально"? :-) | | |
|
|
| 1.7, Аноним (7), 22:42, 02/10/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 Правильно ли я понимаю, что для эксплуатации CVE-2017-14491 нужно, чтобы сначала dnsmasq быть явно настроен на форвардинг DNS-запросов на DNS-сервер злоумышленника? Рекурсивно dnsmasq работать не умеет.
| | |
| |
| 2.10, Аноним (-), 22:53, 02/10/2017 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –3 +/– | |
Для эксплуатации нужно иметь какой-нибудь домен, DNS сервер для него и на каком-нибудь сайте, который у вас открыт в браузере, много-много раз открывать URL с этим доменом, отправляя ответы, которые в какой-то момент перезапишут память.
Как отключить чертов dnsmasq к херам?
| | |
| |
| |
| 4.28, пох (?), 09:50, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –8 +/– |
> По минимуму достаточно просто выпилить его, но без кеша все будет чуток
> медленнее (зависит от ваших интернетов).
только у стардальцев с опенсорсием. В современные операционные системы собственный dns-кэш встроен (в отличие от nscd не подлежащий немедленному искоренению), еще один кривой на дороге им не нужен.
другое дело, что это автоматически открывает поле для уже на них ориентированных эксплойтов.
| | |
|
|
| 2.11, Аноним (-), 22:54, 02/10/2017 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Нет.
"It allows an attacker who can make DNS requests to dnsmasq, and who controls the contents of a domain, which is thereby queried, to overflow a heap buffer and either crash, or even take control of, dnsmasq"
| | |
| |
| 3.12, Аноним (7), 23:06, 02/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
libdns из bind ответы PoC-скрипта рубит ("name too long"). То есть, по меньшей мере, если в качестве рекурсивного DNS используется bind, то кривой ответ до dnsmasq не дойдет.
| | |
| |
| |
| |
| |
| 7.60, ACCA (ok), 23:21, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 > На провайдерский, гугловский или офисный рекурсивный он пошлёт. Дефолтные днсмаски не хинтят,
> а используют конфиг сети, типа резолвконф и тд
Ну, атака против умников, которые
[li]не хотят получать от провайдера "подсказки для неправильно написанного имени"
[li]не хотят открывать гуглу, куда они лазят
| | |
|
|
|
|
|
| 2.26, пох (?), 09:38, 03/10/2017 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Правильно ли я понимаю, что для эксплуатации CVE-2017-14491 нужно, чтобы сначала dnsmasq
> быть явно настроен на форвардинг DNS-запросов на DNS-сервер злоумышленника?
я бы проверил, не сожрет ли он любое гуано, пришедшее ему в 53й порт. В крайнем случае - придется потрахаться, выясняя, какие в нем настроены форвардеры (обычно выбирай один из одного - 8.8.8.8, не промахнешься - заодно оно объедет файрвол, даже если он и был, а не dnsmasq на недоразумении в роли фиревола, selinux, stack protector и прочие нежности не поместились в виду недостатка мощности и памяти). Это udp, детка. Если 8.8.8.8 не работает, то, конечно, придется поискать мишень попроще - а эту оставить скрипткиддям из соседнего блока (провайдер общий, так что они точно знают, какой у него dns, зачем тратить свое время и отбирать у детей сладости ;-)
| | |
| |
| |
| 4.46, пох (?), 13:41, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –2 +/– | |
> Вот только придется повозиться, ловя момент запроса.
зачем? Просто потоком туда слать полезные пакеты от имени гугля, рано или поздно попадешь.
(это если оно вообще умеет как-то фильтровать, что совсем вот не факт)
> Нужен либо снифф, либо контроль над инициатором запроса.
не, точно не нужен. Нужно либо просто (не так уж и)много пакетов, либо вообще одного хватит.
| | |
| |
| 5.49, Аноним (-), 13:51, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> зачем? Просто потоком туда слать полезные пакеты от имени гугля, рано или
> поздно попадешь.
> (это если оно вообще умеет как-то фильтровать, что совсем вот не факт)
Отсекается стандартной конфигурацией фаервола --state ESTABLISHED,RELATED (да, conntrack трассирует соединения даже в тех протоколах, где их нет - UDP, ICMP).
| | |
| |
| 6.54, пох (?), 15:31, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– | |
> Отсекается стандартной конфигурацией фаервола
нет, не отсекается, наоборот, пробивает даже nat. поскольку мне надоело бороться с местной модерацией, думайте сами, на то и голова дана.
| | |
|
|
|
|
|
| 1.20, qsdg (ok), 03:50, 03/10/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
 Слушайте, когда нужно перегружать систему после обновления пакетов? С кернелом понятно, что нужно перегружать. С программами типа GIMP тоже понятно -- рестартовать прогу и всё. А как насчёт всяких либ? Хочу быть уверенным что не продолжаю сидеть на дыре.
| | |
| |
| |
| 3.68, Andrey Mitrofanov (?), 09:57, 10/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> needrestart/oldstable 1.2-8+deb8u1 all
> check which daemons need to be restarted after library upgrades
# { lsof |grep \ DEL\ |egrep /lib\|bin/|grep -v '#prelink#' |sort ;} 2>&1 |less -S
//да, не только демонов покажет, но и, например, firefox (кууча разнообразных названий нитей) и evince, запущенные "давно".
Только "не перегружать систему", а перестартовать приложения.
| | |
|
| 2.29, пох (?), 09:53, 03/10/2017 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –2 +/– | |
> Слушайте, когда нужно перегружать систему после обновления пакетов?
поставь себе уже _нормальную_ систему, а?
suse умеет сказать, когда именно и что нужно перезагружать (и, если это не ведро - не перезагружать вовсе, а перезапускать сервисы поштучно) с 2005го года точно, а вероятнее и с 1998го, 5.какаято.
****, вроде, после торжественных похорон дохлой собаки, замененной на непоймичто, обещала научиться (не прошло и двадцати лет) - неужели воз и ныне там?
(кто-то из модерастов - гомофил?)
| | |
| |
| |
| 4.44, пох (?), 13:39, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –2 +/– | |
ну да, про собаку правильно поняли, а звездочками (из-за которых стало, действительно, неочевидно) пришлось заменить обычно употребляемый мной омоним к слову федора, отражающий ориентацию ее тусовки - который, видимо, то ли лично задел модератора, то ли робота какого разбудил.
а по сути-то кто может просветить - они этому научились за полтора десятилетия, или все по прежнему?
| | |
| |
| |
| 6.57, пох (?), 17:26, 03/10/2017 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> Сузю в последний раз видел в 2009 году, извиняй :)
в 2009м там уже все давно было. То есть любое штатное действие через zypper или графические радости, если после установки обнаруживало проблему, русским английским языком говорило, что именно застряло в памяти и с чем устаревшим связано.
Без всякой необходимости в отдельном пакете именно для этой цели.
| | |
|
|
|
|
|
|
