パブリック/パブリックWiFiで次の脆弱性が発見されました。
「DNSmasq - リモート情報開示を受信するサーバーキャッシュ」
これはクライアントにインターネットアクセスを提供するLinuxボックスであり、私はそれをdnsmasq
DNSサーバーとして使用します。この脆弱性を軽減する方法は?オンラインで合理的な解決策が見つかりません。
メモ:Nessusセキュリティ検索でこの問題が表示されました。脆弱性はここで言及されています:https://www.tenable.com/plugins/nessus/12217。
答え1
このバージョンにアップデートしてくださいdnsmasq
。
バージョン 2.79
余分なスペースが原因で難読化されたCNAMEパラメータの解析を変更します。このバグをつかんでくれたDiego Aguirreに感謝します。
可能であれば、IP_UNICAST_IFまたはIPV6_UNICAST_IFを使用して、SO_BINDTODEVICEの代わりにアップストリームサーバーをインターフェイスにバインドします。パッチを提供してくれたBeniamino Galvaniに感謝します。
特権DNSサーバーとして機能しない限り、再帰必須ビットが設定されていないDNSクエリに対して常にSERVFAIL応答を返します。これにより、潜在的なキャッシュスヌーピングパスを回避できます。
最後の段落でこれを扱っています。