PT-2021-3539 · Dnsmasq+6 · Dnsmasq+6
Publicado
2021-01-19
·
Atualizado
2024-06-15
·
CVE-2020-25685
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do dnsmasq anteriores à 2.83
Descrição
Uma falha no dnsmasq permite que um invasor externo falsifique uma resposta e faça com que ela seja aceita pelo dnsmasq devido ao uso de um hash fraco (CRC32 ou SHA-1) ao verificar consultas encaminhadas na função
reply query(). Isso poderia ser explorado para realizar um ataque de envenenamento de cache DNS, reduzindo substancialmente o número de tentativas necessárias para falsificar uma resposta. A maior ameaça decorrente desse problema é à integridade dos dados.Recomendações
Para versões do dnsmasq anteriores à 2.83, atualize para a versão 2.83 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função
reply query() em forward.c para minimizar o risco de exploração. Além disso, evite usar o dnsmasq como servidor DNS, a menos que seja necessário, e certifique-se de que quaisquer configurações opcionais que permitam o uso do switch EOS como servidor DNS sejam cuidadosamente avaliadas e protegidas.Correção
Inadequate Encryption Strength
Improperly Implemented Security Check for Standard
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Centos
Linuxmint
Red Hat
Suse
Ubuntu
Dnsmasq