Re: Sicherheitsrelevant? dnsmasq liefert das AD-Flag, und lügt dabei
Am 17. September 2014 11:22 schrieb Heiko Schlittermann <hs@schlittermann.de>:
> Hallo,
>
> wenn ein lokaler Client einen lokalen DNS-Resolver fragt (127.0.0.1) und
> dieser bei einer Antwort das „AD“-Flag setzt (authenticated data) um
> eine erfolgreiche DNSSec-Validierung zu signalisieren, diese Validierung
> aber nie gemacht hat, würdet ihr das dann als Sicherheitproblem sehen?
>
> Zu beobachten ist das bei dem dnsmasq, der dem aktuellen Debian Wheezy
> beiliegt. Jede nicht-erste Query an den lokal laufenden dnsmasq
> beantworte der mit gesetztem AD Flag. Auch wenn der angefragt Name
> überhaupt ganz und gar nicht per DNSSec geschützt ist!
[...]
Hallo Heiko,
da für jessie gerade ein Update für dnsmasq kam, habe ich einen Blick
auf das Debian-Changelog geworfen. Vorletzter Eintrag:
dnsmasq (2.72-1) unstable; urgency=low
* New upstream.
* If dns-root-data package is installed, use it to set the DNSSEC
trust anchor(s). Recommend dns-root-data. (closes: #760460)
* Handle AD bit correctly in replies from cache. (closes: #761654)
-- Simon Kelley <simon@thekelleys.org.uk> Tue, 20 May 2014 21:01:11 +0000
Es sieht so aus, als sei das von dir beobachtete Verhalten als Bug
gemeldet und gefixt worden.
Und ja: das würde ich als Sicherheitsproblem ansehen.
Gruß
Matthias Böttcher
PS.
Jetzt wird's komisch: Debian-Changelog behauptet mit Datum vom
20.05.2014 einen Bug (#761654) zu fixen, den du selbst am 15.09.2014
eingereicht hast.
Hat sich also erledigt. Zeigt für mich aber mal wieder, wie man
schnell und unkompliziert zum Debian-Projekt beitragen kann.
Reply to: