DNSmasq - リモート情報開示を受信するサーバーキャッシュ

DNSmasq - リモート情報開示を受信するサーバーキャッシュ

パブリック/パブリックWiFiで次の脆弱性が発見されました。

「DNSmasq - リモート情報開示を受信するサーバーキャッシュ」

これはクライアントにインターネットアクセスを提供するLinuxボックスであり、私はそれをdnsmasqDNSサーバーとして使用します。この脆弱性を軽減する方法は?オンラインで合理的な解決策が見つかりません。

メモ:Nessusセキュリティ検索でこの問題が表示されました。脆弱性はここで言及されています:https://www.tenable.com/plugins/nessus/12217

答え1

このバージョンにアップデートしてくださいdnsmasq

バージョン 2.79

余分なスペースが原因で難読化されたCNAMEパラメータの解析を変更します。このバグをつかんでくれたDiego Aguirreに感謝します。

可能であれば、IP_UNICAST_IFまたはIPV6_UNICAST_IFを使用して、SO_BINDTODEVICEの代わりにアップストリームサーバーをインターフェイスにバインドします。パッチを提供してくれたBeniamino Galvaniに感謝します。

特権DNSサーバーとして機能しない限り、再帰必須ビットが設定されていないDNSクエリに対して常にSERVFAIL応答を返します。これにより、潜在的なキャッシュスヌーピングパスを回避できます。

最後の段落でこれを扱っています。

引用する

関連情報