![](https://s.togetter.com/static/web/img/placeholder.gif)
unboundうんぬんって話は、けっきょくunboundにもTCPのレスポンスデータサイズの制限をかける機能はないみたいなので、ダメなんだな。
2016-02-18 05:26:25![](https://s.togetter.com/static/web/img/placeholder.gif)
CoreOS 960.0.0 fixes CVEs related to glibc. Testing Beta/Stable images (which ship a different version of glibc) coreos.com/releases/#960.…
2016-02-18 07:53:59![](https://s.togetter.com/static/web/img/placeholder.gif)
XenServer 6.5のglibcは 2.5だった。 glibc-2.5-118.el5_10.el5_10.3
2016-02-18 10:16:40![](https://s.togetter.com/static/web/img/placeholder.gif)
@kunitake CentOS7の dnsmasq 2.66 には SAFE_PKTSZ なんてなかった。それで RedHat のドキュメントでは dnsmasq での回避方法とか書いてないのか……なるほどね!スッキリし!じゃねぇ……orz
2016-02-18 14:48:24![](https://s.togetter.com/static/web/img/placeholder.gif)
@kunitake SAFE_PKTSZ のコメント欄の '"go anywhere" UDP packet size' の文言の通り、UDPは落としてくれるけど TCP は普通に通る……dnsmasq を workaround として使うのはダメなんじゃないだろうか?
2016-02-18 15:09:25![](https://s.togetter.com/static/web/img/placeholder.gif)
今回のgetaddrinfoの脆弱性はスタブリゾルバーの名前解決ライブラリのもので、権威DNSサーバーとフルリゾルバーの間のやりとりは対象外だということがポイントの一つなわけですが、そこが抜け落ちている人が結構多くいる気がします。
2016-02-18 15:25:19![](https://s.togetter.com/static/web/img/placeholder.gif)
glibcはEDNS0オフがデフォルトで、オンの機器もほぼないと考えられるので、DNSSECおよびANYクエリを出す一部のクライアントのことを考慮し、「EDNS0オフのクエリ時だけTCP応答サイズを1024バイトに制限+draft-dnsop-refuse-anyする」あたりかな
2016-02-18 15:46:34![](https://s.togetter.com/static/web/img/placeholder.gif)
@kunitake dnsmasq について追記。ツッコミ希望です> "(dnsmasq への追記あり)CVE-2015-7547 glibcのgetaddrinfo に stack buffer overflow の脆弱性" kunitake.org/chalow/2016-02…
2016-02-18 16:20:43![](https://s.togetter.com/static/web/img/placeholder.gif)
【自分用メモ】> msg-buffer-size: 2047 // [dns-operations] CVE-2015-7547: glibc getaddrinfo buffer overflow lists.dns-oarc.net/pipermail/dns-…
2016-02-18 16:51:07![](https://s.togetter.com/static/web/img/placeholder.gif)
Unboundでこのオプションを設定した場合、それより大きな応答が来たらどうなるんだろう。
2016-02-18 16:55:09![](https://s.togetter.com/static/web/img/placeholder.gif)
aws も TCP でちゃんと制限かかってるんだろうか……と思ったけど、いま自由にできるような VM 借りてないから確認できない。わざわざ借りることもないだろうから、まぁいいか
2016-02-18 17:14:04![](https://s.togetter.com/static/web/img/placeholder.gif)
改めてつぶやいとくと、dnsmasqでの対処は、edns-packet-max じゃなくて、dnsmasq 2.73以降の src/config.h にある SAFE_PKTSZ。でも UDPにしか効かなくてTCPには無力なので、やっぱりダメ、というのが私の結論。
2016-02-18 17:58:03![](https://s.togetter.com/static/web/img/placeholder.gif)
こっちは残念ながら試さなかったけど、unbound/bind の max-udp-size による制限もUDP限定なのでやっぱりTCPには無力なはず。RedHat のサイトにもそのことは書いてある。諦めてパッケージあげようね…… access.redhat.com/articles/21614…
2016-02-18 18:03:54![](https://s.togetter.com/static/web/img/placeholder.gif)
Just for your information, NSD and Unbound are not vulnerable to CVE-2015-7547. Both services don't depend on DNS for bootstrap.
2016-02-18 18:40:13![](https://s.togetter.com/static/web/img/placeholder.gif)
【JPRS/脆弱性情報】(緊急)GNU C Library(glibc)の脆弱性について(CVE-2015-7547) jprs.jp/tech/security/…
2016-02-18 19:06:37![](https://s.togetter.com/static/web/img/placeholder.gif)
【自分用メモ】CERT Div.はBase 10.0 // Vulnerability Note VU#457759 glibc vulnerable to stack buffer overflow in DNS resolver kb.cert.org/vuls/id/457759
2016-02-18 19:56:06![](https://s.togetter.com/static/web/img/placeholder.gif)
ツールとバージョン毎の影響範囲表が便利。 / “glibc's CVE-2015-7547 and HashiCorp Tools - HashiCorp” htn.to/3zcBVP #興味深い
2016-02-19 07:16:51