Re: Sicherheitsrelevant? dnsmasq liefert das AD-Flag, und lügt dabei
Matthias Böttcher schrieb am 14. Oct um 08:20 Uhr:
> Am 17. September 2014 11:22 schrieb Heiko Schlittermann <hs@schlittermann.de>:
> > wenn ein lokaler Client einen lokalen DNS-Resolver fragt (127.0.0.1) und
> > dieser bei einer Antwort das „AD“-Flag setzt (authenticated data) um
> > eine erfolgreiche DNSSec-Validierung zu signalisieren, diese Validierung
> > aber nie gemacht hat, würdet ihr das dann als Sicherheitproblem sehen?
> >
> > Zu beobachten ist das bei dem dnsmasq, der dem aktuellen Debian Wheezy
> > beiliegt. Jede nicht-erste Query an den lokal laufenden dnsmasq
> > beantworte der mit gesetztem AD Flag. Auch wenn der angefragt Name
> > überhaupt ganz und gar nicht per DNSSec geschützt ist!
> dnsmasq (2.72-1) unstable; urgency=low
>
> * Handle AD bit correctly in replies from cache. (closes: #761654)
>
> -- Simon Kelley <simon@thekelleys.org.uk> Tue, 20 May 2014 21:01:11 +0000
> Es sieht so aus, als sei das von dir beobachtete Verhalten als Bug
> gemeldet und gefixt worden.
>
> Und ja: das würde ich als Sicherheitsproblem ansehen.
Jens Schüßler schrieb am 14. Oct um 11:40 Uhr:
> * Matthias Böttcher <matthias.boettcher@gmail.com> wrote:
> >
> > PS.
> > Jetzt wird's komisch: Debian-Changelog behauptet mit Datum vom
> > 20.05.2014 einen Bug (#761654) zu fixen, den du selbst am 15.09.2014
> > eingereicht hast.
>
> Das erklärt sich, wenn du auch die Antwort des Maintainers im BTS liest.
> Im Upstream-Release war der Bug schon länger gefixt.
Das Problem ist, dass er weder in stable noch in lts gefixt werden soll,
weil die security Leute ihn nicht für sicherheitsrelevant ansehen.
Gruß
Christian
--
Christian Knoke * * * http://cknoke.de
* * * * * * * * * Ceterum censeo Microsoft esse dividendum.
Reply to: