-
- いいね!5
AoiMoe a.k.aしお兄P
@AoiMoe
unboundうんぬんって話は、けっきょくunboundにもTCPのレスポンスデータサイズの制限をかける機能はないみたいなので、ダメなんだな。
2016-02-18 05:26:25
CoreOS, Inc.
@coreos
CoreOS 960.0.0 fixes CVEs related to glibc. Testing Beta/Stable images (which ship a different version of glibc) coreos.com/releases/#960.…
2016-02-18 07:53:59
Toshifumi Sakaguchi
@siskrn
XenServer 6.5のglibcは 2.5だった。 glibc-2.5-118.el5_10.el5_10.3
2016-02-18 10:16:40
kunitake
@kunitake
@kunitake CentOS7の dnsmasq 2.66 には SAFE_PKTSZ なんてなかった。それで RedHat のドキュメントでは dnsmasq での回避方法とか書いてないのか……なるほどね!スッキリし!じゃねぇ……orz
2016-02-18 14:48:24
kunitake
@kunitake
@kunitake SAFE_PKTSZ のコメント欄の '"go anywhere" UDP packet size' の文言の通り、UDPは落としてくれるけど TCP は普通に通る……dnsmasq を workaround として使うのはダメなんじゃないだろうか?
2016-02-18 15:09:25
Yasuhiro Morishita
@OrangeMorishita
今回のgetaddrinfoの脆弱性はスタブリゾルバーの名前解決ライブラリのもので、権威DNSサーバーとフルリゾルバーの間のやりとりは対象外だということがポイントの一つなわけですが、そこが抜け落ちている人が結構多くいる気がします。
2016-02-18 15:25:19
(🍥)
@hdais
glibcはEDNS0オフがデフォルトで、オンの機器もほぼないと考えられるので、DNSSECおよびANYクエリを出す一部のクライアントのことを考慮し、「EDNS0オフのクエリ時だけTCP応答サイズを1024バイトに制限+draft-dnsop-refuse-anyする」あたりかな
2016-02-18 15:46:34
kunitake
@kunitake
@kunitake dnsmasq について追記。ツッコミ希望です> "(dnsmasq への追記あり)CVE-2015-7547 glibcのgetaddrinfo に stack buffer overflow の脆弱性" kunitake.org/chalow/2016-02…
2016-02-18 16:20:43
Yasuhiro Morishita
@OrangeMorishita
【自分用メモ】> msg-buffer-size: 2047 // [dns-operations] CVE-2015-7547: glibc getaddrinfo buffer overflow lists.dns-oarc.net/pipermail/dns-…
2016-02-18 16:51:07
Yasuhiro Morishita
@OrangeMorishita
Unboundでこのオプションを設定した場合、それより大きな応答が来たらどうなるんだろう。
2016-02-18 16:55:09
kunitake
@kunitake
aws も TCP でちゃんと制限かかってるんだろうか……と思ったけど、いま自由にできるような VM 借りてないから確認できない。わざわざ借りることもないだろうから、まぁいいか
2016-02-18 17:14:04
kunitake
@kunitake
改めてつぶやいとくと、dnsmasqでの対処は、edns-packet-max じゃなくて、dnsmasq 2.73以降の src/config.h にある SAFE_PKTSZ。でも UDPにしか効かなくてTCPには無力なので、やっぱりダメ、というのが私の結論。
2016-02-18 17:58:03
kunitake
@kunitake
こっちは残念ながら試さなかったけど、unbound/bind の max-udp-size による制限もUDP限定なのでやっぱりTCPには無力なはず。RedHat のサイトにもそのことは書いてある。諦めてパッケージあげようね…… access.redhat.com/articles/21614…
2016-02-18 18:03:54
NLnet Labs — @nlnetlabs@fosstodon.org
@NLnetLabs
Just for your information, NSD and Unbound are not vulnerable to CVE-2015-7547. Both services don't depend on DNS for bootstrap.
2016-02-18 18:40:13
Yasuhiro Morishita
@OrangeMorishita
【JPRS/脆弱性情報】(緊急)GNU C Library(glibc)の脆弱性について(CVE-2015-7547) jprs.jp/tech/security/…
2016-02-18 19:06:37
Yasuhiro Morishita
@OrangeMorishita
【自分用メモ】CERT Div.はBase 10.0 // Vulnerability Note VU#457759 glibc vulnerable to stack buffer overflow in DNS resolver kb.cert.org/vuls/id/457759
2016-02-18 19:56:06
前佛 雅人 - Masahito Zembutsu
@zembutsu
ツールとバージョン毎の影響範囲表が便利。 / “glibc's CVE-2015-7547 and HashiCorp Tools - HashiCorp” htn.to/3zcBVP #興味深い
2016-02-19 07:16:51