The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Удалённо эксплуатируемая уязвимость в библиотеке GNU adns

12.06.2020 08:09

В развиваемой проектом GNU библиотеке для выполнения DNS-запросов adns выявлено 7 уязвимостей, из которых четыре проблемы (CVE-2017-9103, CVE-2017-9104, CVE-2017-9105, CVE-2017-9109) могут использоваться для совершения атаки для удалённого выполнения кода в системе. Остальные три уязвимости приводят к отказу в обслуживании через вызов краха приложения, использующего adns.

Пакет adns включает в себя Си-библиотеку и набор утилит для выполнения DNS-запросов в асинхронном режиме или с использованием событийно-ориентированной модели (Event-driven). Проблемы устранены в выпусках 1.5.2 и 1.6.0. Уязвимости позволяют атаковать приложения, вызывающие функции adns, через отдачу рекурсивным DNS-сервером специально оформленного ответа или полей SOA/RP.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Атака NXNSAttack, затрагивающая все DNS-резолверы
  3. OpenNews: Выпуск DNS-сервера BIND 9.16.0
  4. OpenNews: В uBlock Origin добавлена защита от нового метода отслеживания, манипулирующего именами в DNS
  5. OpenNews: Уязвимость в DNS-сервере Unbound, допускающее удалённое выполнение кода
  6. OpenNews: Инициатива DNS flag day 2020
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53141-adns
Ключевые слова: adns, dns
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Имя (?), 08:18, 12/06/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –9 +/
     

     ....ответы скрыты (6)

  • 1.9, Аноним (9), 13:48, 12/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Номер cve намекает о том, что о проблеме известно уже 3 года, и она до сих пор не исправлена? А где сабж используется? Вот о проблемах в c-ares и чём там браузеры используют я слышал, но без такой жести. А сабж? Хотя, учитывая копирайт, единственный вопрос это почему не выкинули на помойку 20 лет назад, когда было самое время?

    >adns is Copyright 1997-2000,2003,2006,2014 Ian Jackson, Copyright 2014 Mark Wooding, Copyright 1999-2000,2003,2006 Tony Finch, and Copyright (C) 1991 Massachusetts Institute of Technology.

     
     
  • 2.11, Аноним (11), 20:04, 12/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Номера cve часто регистрируют блоками, заранее, а потом из них выдают номера. Зачем так делают я хз.
     

  • 1.13, Kusb (?), 20:26, 12/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну это уже удивительно. А в библиотеке для пингов тоже можно 100 уязвимостей найти?
    Хотя днс выглядит развесистым протоколом.
     
  • 1.14, Аноним (14), 09:59, 13/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что, кто-то запустил на всеми забытой либе fuzzer?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру