Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root"	+/–
Сообщение от opennews (??), 12-Май-26, 18:03
В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер, сервер DHCP,  сервис для анонсов маршрутов IPv6 и систему загрузки по сети, выявлено   6 уязвимостей, позволяющих выполнить код с правами root, перенаправить домен на другой IP, определить содержимое памяти процесса и вызвать аварийное завершение сервиса. Проблемы устранены в выпуске dnsmasq 2.92rel2. Исправления также доступны в форме патчей. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы):  Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch,... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65431
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 12-Май-26, 18:03	–9 +/–
У всех нормальных unbound.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #21, #92, #93

2. Сообщение от Аноним83 (?), 12-Май-26, 18:07	–3 +/–
На самом деле там практически все косяки были с DNSSEC, ещё пара с DHCPv6 и один с DNS. На практике от этого толку около нуля, учитывая что DHCPv6 только в локалке и обычно его не юзают, а DNSSEC вендоры вроде не включают, ибо им не нужны багрепорты на пустом месте. Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось. Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю. Я уже почти все сервисы поубирал в chroot, и буду теперь как мяв с её томоей - смотреть за цирком со стороны :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #16, #20

3. Сообщение от Аноним83 (?), 12-Май-26, 18:07	+5 +/–
А DHCPv6 чем раздавать?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10, #39, #42

4. Сообщение от Аноним (4), 12-Май-26, 18:08	+3 +/–
он разжирел с годами. Я может не нормальный, у меня dnsmasq
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #24

5. Сообщение от Аноним (5), 12-Май-26, 18:12	+/–
>Проблемы устранены в выпуске dnsmasq 2.92rel2. Сейчас конечно уязвимости становятся ещё более опасными: https://www.tomshardware.com/tech-industry/cyber-security/st...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

6. Сообщение от Дырик (?), 12-Май-26, 18:15	+1 +/–
There has been something of a revolution in AI-based security research, and I've spent a lot of time over the last couple of months dealing with bug reports, weeding duplicates (so many duplicates!) and triaging bugs into those which need vendor pre-disclosure and those which it's better to make public and fix immediately. … The tsunami of AI-generated bug reports shows no signs of stopping, so it is likely that this process will have to be repeated again soon.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91

7. Сообщение от ruroruro (ok), 12-Май-26, 18:21	+12 +/–
Уважаемые админы OpenNET, вы можете в новостях про уязвимости сразу писать - это Local Privilege Escalation (LPE) или Remote Code Execution (RCE)? Потому что для подовляющего большинства людей LPE и RCE имеют абсолютно разные уровни важности. А фразы вроде "система загрузки по сети" и "позволяющих выполнить код с правами root" сразу создают впечатление будто это RCE. Кликбейт - это конечно хорошо, но очень не приятно, что после каждой подобной новости приходится самому лазить в первоисточники и проверять есть ли там RCE или это очередной LPE. Заранее спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #13, #89

8. Сообщение от Дырик (?), 12-Май-26, 18:22	+/–
Это только самая вершина айсберга. Кто приберёг все самое интересное для pwn2own, c 14 мая начнут сдавать баги, а далее просто начнут расчехлять всё ;) Серьезные уязвимости, на поиск которых требовались месяцы работы топовых специалистов, теперь может найти средненький специалист за дни-недели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #32

9. Сообщение от Дырик (?), 12-Май-26, 18:24	+/–
RCE, Cache poisoning, infoleak, infoleak, dos, infoleak
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

10. Сообщение от Аноним (10), 12-Май-26, 18:28	–6 +/–
Kea. Плюс для дома это редко нужно. А вот dns сервер с поддержкой doh, резолвера и кеша нужен всегда. Вечно дергать glibc - глупая затея.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #22

11. Сообщение от ruroruro (ok), 12-Май-26, 18:34	+/–
> RCE [citation needed]? На странице "Vulnerability Note VU#471747", на которую ссылается пост сказано только про LPE: "A local attacker may execute arbitrary code as root via DHCPv6 manipulation", "allows local attackers to execute arbitrary code with root privileges via a crafted DHCPv6 packet". Страничка самого CVE-2026-4892 на сайте NVD тоже классифицировано как "Attack Vector: Local". > Cache poisoning, infoleak, dos Остальное - вроде как верно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Дырик (?), 12-Май-26, 18:46	+/–
Да, действительно. Звучит странно в контексте DHCPv6-пакетов, но видимо так. Вот полное письмо: https://marc.info/?l=oss-security&m=177852314119822&w=2 >[оверквотинг удален] > > Cache Poisoning / Redirection (CVE-2026-2291, CVE-2026-4893) Attackers > may overwrite cache entries or manipulate response routing, enabling the > silent redirection of users to malicious domains. > > Information Disclosure (CVE-2026-4891, CVE-2026-4893) Internal memory > and network information may be inadvertently exposed. > > Local Privilege Escalation (CVE-2026-4892) A local attacker may execute > arbitrary code as root via DHCPv6 manipulation.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15

13. Сообщение от Аноним (13), 12-Май-26, 18:49	+/–
Еще было бы классно указывать сколько лет  ̶с̶у̶щ̶е̶с̶т̶в̶о̶в̶а̶л̶ ̶б̶е̶к̶д̶о̶р̶ жила дырень. Это конечно может быть сложным, так что я начну с себя)) CVE-2026-4892 - 13 лет github.com/imp/dnsmasq/blame/d42d4706bbcce3b5a40ad778a5a356a997db6b34/src/helper.c#L258 CVE-2026-2291 - 15 лет github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnsmasq.h#L489 CVE-2026-4893 - 5 лет github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/forward.c#L727 CVE-2026-4891 - 13 лет github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L548 CVE-2026-4890 - 13 лет (в том же dnssec.c что и предыдущая) github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/dnssec.c#L1349 CVE-2026-5172 - всего год, свежачок! github.com/imp/dnsmasq/blame/cf08eeee12b0f76a1259736c7795bfae82e08d2c/src/rfc1035.c#L946 В общем результаты не утешительные, проект состоящий на 94.2% из дыpяшku внезапно! отказался дыpяßым. Какая неожиданность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #30

14. Сообщение от Аноним (14), 12-Май-26, 19:04	+4 +/–
> свести ущерб от всех атак примерно к нулю Чудны дела твои... Что, от отравления кэша DNS chroot помогает? Вот это нанотехнологии!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25, #67

15. Сообщение от Аноним (36), 12-Май-26, 19:07	+/–
>Local Privilege Escalation (CVE-2026-4892) A local attacker may execute > arbitrary code as root via DHCPv6 manipulation. А далее прочитать не судьба? "The likely attack vector is the local network, where an attacker can craft and send a DHCPv6 packet to the vulnerable server" Слово "local" в данном CVE употребляется в значении LAN = local network. Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19, #33, #35

16. Сообщение от Аноним (10), 12-Май-26, 19:08	+1 +/–
> Меня вообще никак не задело, ибо у меня оно пока чисто как DHCPv4 сервер, да и то надеюсь не долго осталось. Ну, значит можно не фиксить rcешки > chroot После недавних copy fuck и dirty fag? Шутник. > смотреть за цирком со стороны :) Шею свернешь) Твой чрут в пять секунд разберут и пойдут плясать вокруг тебя. > Я уже почти все сервисы поубирал в chroot Systemd с namespace и seccompo попробуй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #26

17. Сообщение от Аноним (17), 12-Май-26, 19:15	+1 +/–
https://github.com/openwrt/openwrt/pull/23316
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (18), 12-Май-26, 19:19	+1 +/–
ты говоришь об этом, как будто это что-то плохое!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от ruroruro (ok), 12-Май-26, 19:21	+/–
> Если выставить DHCPv6 наружу (WAN), то будет вполне себе RCE Мне казалось, что DHCP нельзя (ну или бессмысленно) "выставить наружу", потому что DHCPv6 и прочие multicast пакеты не пересылаются роутерами дальше локалки. Если действительно достаточно локальной сети, а не "аккаунт на машине", то получается что CVSS не правильный (должно быть Attack Vector: Adjacent, а не Local). Ну или все-таки есть ещё какая-то причина, почему они решили пометить эту уязвимость именно как AV:L. Возможно, там что-то ещё мешает использованию "по проводу". :shrug:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #43

20. Сообщение от Аноним (20), 12-Май-26, 19:23	+/–
>Для особо озабоченных - можно dnsmasq в chroot убрать и свести ущерб от всех атак примерно к нулю. Во-первых, из chroot-а можно отностельно тривиально выйти. Во-вторых, chroot вам абсолютно никак в данном вопросе не поможет. В-третьих, systemd изобретён.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #27, #36

21. Сообщение от Аноним (21), 12-Май-26, 19:25	+/–
Роутеров?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

22. Сообщение от Аноним83 (?), 12-Май-26, 19:37	–2 +/–
Kea тяжёловата и сложновата. Мне DoH/DoT даром не нужны, я порезал все известные IP этих сервисов дома, чтобы туда не лазали всякие андройды в обход домашнего unbound с его чёрными списками. Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #49

23. Сообщение от Аноним (23), 12-Май-26, 19:37	+1 +/–
> позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6 то есть если в твоей квартирной сети есть телефон с максом то он угонит твой роутер с опенврт и установит на него бекдор от гебухи.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #64

24. Сообщение от Аноним83 (?), 12-Май-26, 19:40	–1 +/–
Да, это точно. Заглянул вчера в доку, после примерно 5 лет не заглядывания - а там столько всякого наросло. С другой стороны там до сих пор не сделали фильтр для IPv6 записей, ктогда как для IPv4 есть - типа не по феншую, так и приходится через ж. фильтровать некоторые домены от IPv6. dnsmasq не имеет рекурсера, это существенный недостаток. А ещё там внутри начинка мне не нравится - как раз в декабре там лазал, смотрел на DHCP часть, чувствуется что писали люди из 90х.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #53

25. Сообщение от Аноним83 (?), 12-Май-26, 19:41	+/–
А отравление кеша DNS вообще малозначительная проблема, с около нулевым ущербом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

26. Сообщение от Аноним83 (?), 12-Май-26, 19:43	+/–
> После недавних copy fuck и dirty fag? Шутник. Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые. И конфиг. Что ты с этим сделаешь то? Запишешь в /tmp - а от туда не запускается, ибо noexec+nosuid.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #54

27. Сообщение от Аноним83 (?), 12-Май-26, 19:44	+/–
Как вы от туда собрались выходить, когда там ничего нет и писать почти некуда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #51

28. Сообщение от Аноним83 (?), 12-Май-26, 19:46	–1 +/–
У роутеров нынче столько лишней памяти что unbound там прекрасно живёт. Он в общем то и на 64мб озу уже жить может, в OpenWRT или самом unbound есть пресет под минимальное потребление памяти как раз. Я его как раз юзал в мобильных роутерах с OpenWRT, там правда есть нюансы настройки, я их у себя в вики описывал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #63

29. Сообщение от Zenitur (ok), 12-Май-26, 19:51	+1 +/–
Ждём фикс во Freexian.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним83 (?), 12-Май-26, 19:52	+1 +/–
Ага, и всё это время оно работало на миллионах инсталляций и никому не мешало :) Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править. Я планировал его заменить на собственный DHCP4+DHCP6+RA сервер на C+LUA. DHCP4 у меня уже в принципе работает, там только на луа осталось расписать всю логику. DHCP6 примерно так же, но я не тестил работу, просто разбирает/собирает пакеты, в логику даже не начинал смотреть. RA даже не брался. А ещё вебгуй бы и прочие плюхи. Пора реально ИИ припрягать какакодить :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #37

31. Сообщение от Аноним83 (?), 12-Май-26, 19:54	+1 +/–
Увы но нет. В андройдах нет DHCP6 поддержки вообще, только RA. Удивительно что в RA реализации dnsmasq ничего не нашлось :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #38

32. Сообщение от Аноним83 (?), 12-Май-26, 20:00	–1 +/–
Ну расчехлят, ну обновимся может быть, когда руки дойдут и что дальше? Уже даже в венде как то так научились делать чтобы черви не самоходили, а уж там то всегда была гомогенная среда, самая сладкая для такого. Вроде больше 5 лет прошло с последнего массового выгула самохода, если ничего не путают, а то и все 23 - там то уж точно самоходность была в полный рост :) Линукса и прочие - их всегда было мало и они все на друг друга не похожи - умучаешься самохода писать ради полутора калек.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

33. Сообщение от Дырик (?), 12-Май-26, 20:07	+/–
Откуда вы взяли эту цитату? Я перед ответом зашел в калькулятор CVSS, чтобы освежить знания, думал, забыл чего, но нет, local это local machine.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #88

34. Сообщение от Аноним (34), 12-Май-26, 20:09	+/–
> Проект Dnsmasq задействован в платформе Android Рутаем любую мобилу?
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Дырик (?), 12-Май-26, 20:09	+/–
Ваша цитата Generated by OpenCVE AI on May 11, 2026 at 20:37 UTC., не соответствует действительности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

36. Сообщение от Аноним (36), 12-Май-26, 20:11	+/–
>из chroot-а можно отностельно тривиально выйти Правда что-ли? Поделись сакральным знанием. Расскажи как "тривиально" выходят из пустого чрута, в котором кроме необходимых либ и единственного исполняемого файла больше ни чего нет и отсутствуют права записи ни в один каталог.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #68

37. Сообщение от Аноним (37), 12-Май-26, 20:12	–1 +/–
> Ага, и всё это время оно работало на миллионах инсталляций И? > и никому не мешало :) Конечно оно никому не мешало ломать чужие компы. Или у вас есть доказательство, что никто посторонний никуда не ходил? > Проект там сильно легаси, внутри по коду трудно ориентироватся и что то править. Там всего 35к строк кода. Просто если дом лепить из овна и палок, то качество получится соответствующее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #41

38. Сообщение от Аноним (-), 12-Май-26, 20:14	+/–
В андроиде приложуха не может отправить UDP пакет? Там это, в браузере, QUIC/HTTP3 реализовано без поддержки со стороны системы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #44

39. Сообщение от wd (?), 12-Май-26, 20:20	+1 +/–
а зачем его раздавать? там же slaac есть, очень даже работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #40

40. Сообщение от Аноним83 (?), 12-Май-26, 20:29	+/–
Не точно выразился: чем IPv6 адреса раздавать? Стоит проблема контроля того какие хосты в сети какие IP адреса юзают. Для IPv4 я просто статику по дхцп выдаю, а с IPv6 они сами пачками адреса гребут по RA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #66

41. Сообщение от Аноним83 (?), 12-Май-26, 20:40	+1 +/–
И много наломали? Какой реальный ущерб? 35к строк кода для такого проекта очень много. У меня даже с исходниками LUA (их вроде как 10к) получается меньше для сходного функционала. Примерно по 3к строк кода на DHCP4/DHCP6 реализацию протоколов и биндингов в луа ушло. Ещё наверное 5к остальной С код для сетей, потоков и пр. Дальше на луа логика компактная получается, относительно, там практически можно сказать что это конфиг и не считать за код :) DNS - ещё 1-2к строк кода. RA в пределах 3к. Итого где то 15к строк на С, ещё 5к можно для луа кода оставить. Если накинуть интерпретатор луа то со всеми натягами 30к получается, но функционала и гибкости на порядки больше влезет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #45, #52

42. Сообщение от Аноним (42), 12-Май-26, 20:42	+/–
Обнови dnsmasq
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #50

43. Сообщение от Аноним83 (?), 12-Май-26, 20:42	+/–
Ставить наружу реально бессмысленно (хотя такие выставители у горе провайдеров часто ложат сегмент сети - роутер начинает выдавать адреса соседям чудо абонента и инет у них ломается), однако это не значит что из инета нельзя получать DHCP пакетов :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

44. Сообщение от Аноним83 (?), 12-Май-26, 20:43	+/–
Это да, тут вы правы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

45. Сообщение от Аноним (45), 12-Май-26, 20:53	+/–
> И много наломали? Какой реальный ущерб? Думаю ущерб будут еще считать, и найдут взломы, которые непонятно как случились. Но это не важно, так как вам пофиг. > 35к строк кода для такого проекта очень много. > У меня даже с исходниками LUA (их вроде как 10к) получается меньше для сходного функционала. Ну так не сравнивайте ЯП высокого уровня и ассембрер-переросток)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #47

46. Сообщение от жявамэн (ok), 12-Май-26, 21:06	+1 +/–
dnscrypt-proxy больше ничего не нужно
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним83 (?), 12-Май-26, 21:10	+/–
Никто уже ничего не найдёт. Технически то луа тоже на С так что можно сказать что это С либа для парсинга конфига :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

48. Сообщение от Аноним (5), 12-Май-26, 21:14	+/–
AI устроил переполох.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

49. Сообщение от Аноним (49), 12-Май-26, 21:17	+/–
> Не очень понял как вы из приложения мимо системного резолвера попадёте в кеш unbound? Ну если приложение берет сервера не из /etc/resolv.conf, то никак. Разве что руткит прикрутить и хуки повесить. Но это уже такой момент.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #55

50. Сообщение от Аноним (49), 12-Май-26, 21:18	+/–
И что, там doh есть? + Другие фишки типа prefetch и т.д
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

51. Сообщение от Аноним (20), 12-Май-26, 21:27	+/–
Для того, чтобы выйти из chroot, нужно всего-лишь иметь возможность выполнять системные вызова.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #58

52. Сообщение от Аноним (20), 12-Май-26, 21:30	+/–
>И много наломали? Какой реальный ущерб? Как вы собираетесь это определять для нулевого дня? В этом та весь и смысл, даже если машину взломают, вы не поймёте как. >Дальше на луа логика компактная получается, относительно, там практически можно сказать что это конфиг и не считать за код :) Вот не могут сишники писать на си, обязательно надо луа вкорячить. Или питон или js.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #59

53. Сообщение от Заноним (?), 12-Май-26, 21:50	+/–
> dnsmasq не имеет рекурсера, это существенный недостаток. имеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #56

54. Сообщение от Аноним (60), 12-Май-26, 22:14	+/–
> Ээээ так там в chroot только RO область, и бинарник того же dnsmasq+либы ему необходимые. Тут спасает то, что это кастомный костыль и вероятность, что эксплойт учитывает этот сценарий минимальна. А так, если есть RCE в dnsmasq и LPE в ядре, исход может быть печальным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #57

55. Сообщение от Аноним83 (?), 12-Май-26, 22:15	+/–
Вот взяло приложение из resolv.conf nameserver 127.0.0.1 дальше то оно libc и будет дёргать. Если речь шла про то что кеш не покидает хоста или локалки (смотря где unbound) стоит - то это да, в остальных случаях я только про кеш внутри приложений встречал, но это каждый раз отдельные реализации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #60

56. Сообщение от Аноним83 (?), 12-Май-26, 22:20	+/–
https://wiki.archlinux.org/title/Dnsmasq Since dnsmasq is a stub resolver not a recursive resolver you must set up forwarding to an external DNS server. https://thekelleys.org.uk/dnsmasq/doc.html The DNS subsystem provides a local DNS server for the network, with forwarding of all query types to upstream recursive DNS servers and caching of common record types Те своего рекурсера там нет, он всегда спрашивает у кого то и тот кто то сам бегает по всем днс начиная с корня пока не найдёт нужное и не отдаст ему. Я когда то писал сам рекурсер для днс - очень запарная тема. А написать такой как днсмаск весьма просто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

57. Сообщение от Аноним83 (?), 12-Май-26, 22:26	+/–
...или закладка в железе типа ME/PSP... Вопрос то всегда в цене. Если готовы заплатить достаточно - то и физически могут вломится, устроить термальный анализ и тп, вы почему то всё сводите к дешман скрипткидди взломам. RCE то допустим там есть, но тоже они разные бывают. В случае с chroot где все под RO нужно чтобы rce влил кусок кода прямо в память процесса и передал ему управление. Подобное водится в штучных экземплярах в принципе. Для LPE тоже часто разные условия бывают, может так легко оказатся что, например, нужное устройство просто не проброшено в chroot.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

58. Сообщение от Аноним83 (?), 12-Май-26, 22:29	+/–
И всего лишь быть запущенным под рутом, это вам не вин9х.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #62

59. Сообщение от Аноним83 (?), 12-Май-26, 22:30	+/–
Я вообще последнее время часто на shell script пишу, потому что задачи такие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #74

60. Сообщение от Аноним (60), 12-Май-26, 22:34	+/–
> кеш не покидает хоста или локалки (смотря где unbound) стоит Верно, сорри. Неправильно выразился. > в остальных случаях я только про кеш внутри приложений встречал, Да, у тех же браузеров есть, секунд 60, наверное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

62. Сообщение от Аноним (20), 12-Май-26, 22:38	+/–
А слабо было сразу написать все параметры?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

63. Сообщение от Аноним (21), 13-Май-26, 00:09	–1 +/–
В 64 Мб, я думаю, уже и графическое окружение можно какое-то впихнуть. Вопрос только -- зачем? Зачем значительную часть оперативной памяти отдавать под одну единственную программу-демон, которая выполняет одну из десятка функций?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #65

64. Сообщение от Аноним (21), 13-Май-26, 00:12	+/–
> телефон с максом Там пока прочухают, согласуют, все бумажки подпишуть... уже и все уязвимые роутеры помрут от рассохшихся конденсаторов. Слишком сложно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #71

65. Сообщение от Аноним83 (?), 13-Май-26, 00:31	+1 +/–
У меня там списки блокировки всяких негодных доменов, мне такой сервис нужен. А под что ещё память роутера использовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #75

66. Сообщение от Аноним (66), 13-Май-26, 01:41	+/–
MAC рандомный выключи на девайсах, где жто не нужно, и будет у тебя статичный айпишник в IPv6. Приватность, если что, ещё включить надо на компах, а телефонам пофигу, они и так у тебя в dhcp могут привторится каким угодно MAC и получить любой айпишник, или вообще не пользоваться твоим DHCP и самоприсвоить статику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #70

67. Сообщение от Аноним (66), 13-Май-26, 01:45	+/–
От отравления кэша помогает только DNSSEC либо туннель вокруг того, кто его тебе отравляет (твой провайдер, больше собственно то и некому).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #69

68. Сообщение от Аноним (66), 13-Май-26, 01:51	+/–
Зачем тогда chroot, если можно демона просто в отдельный UID посадить и дать ему CAP_NET_BIND_SERVICE (или CAP_NET_RAW если ещё и DHCP нужен)? Он всё равно нихрена не сделает. И если в программе был баг, то в теории оно само себе может замапить read-write-execute память и развернуть себе шелл самостоятельно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #81

69. Сообщение от Аноним83 (?), 13-Май-26, 01:52	+/–
От отравления кеша помогает DNS@TCP - изначально заложенный в протоколе. DNSSEC помогает обчебурнетится на ровном месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

70. Сообщение от Аноним83 (?), 13-Май-26, 01:55	+/–
Тут дело в управлении внутри своей локалки. Допустим я бы детям коей чего резал на фаере, но IPv6 не даёт возможности это делать гарантированно. Потом никакой отчётности и статистики, даже сходу не понять кто выжрал весь канал в случае чего: если ип4 можно слазать-посмотреть в базу лиз днсмаска, то ипв6 - это квест через мак адрес.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

71. Сообщение от Аноним (66), 13-Май-26, 01:59	+/–
Не сложно. По методичке же начали детектить впны на девайсах у ло^w нормисов, могут и дальше пойти и начать сканить локалку такого девайса с малварью на борту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #73

72. Сообщение от runoverheads (ok), 13-Май-26, 04:10	+/–
поясните откуда root, ведь при  старте демон сбрасывает права до пользователя dnsmasq ?
Ответить | Правка | Наверх | Cообщить модератору

73. Сообщение от Аноним (21), 13-Май-26, 08:06	+/–
Вот именно, по методичке. Которую спустили сверху.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

74. Сообщение от Аноним (21), 13-Май-26, 08:06	+/–
У всех есть девиации... но не обо всех надо рассказывать в приличном обществе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

75. Сообщение от Аноним (21), 13-Май-26, 08:43	+/–
> У меня там списки блокировки всяких негодных доменов, мне такой сервис нужен. Говоришь так, будто бы dnsmasq не умеет такова. А вот наоборот, unbound, например, не умеет в DHCP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #83

76. Сообщение от Аноним (76), 13-Май-26, 08:50	+/–
Oblivious DoH (ODoH) разработана инженерами Apple и Cloudflare в 2020 году.  (Уже поддерживается браузерами Firefox и Waterfox) По умолчанию, ваш оператор интернета видит ваши запросы в интернете и адреса сайтов (и их IP) на которые вы заходите. Все по этому пользуются DNS DoH от CloudFlare или Google. И оператор интернета видит только IP адрес ресурсов, на которые вы заходите. Но DNS хостинг всё равно видит и ваш IP-адрес, и ваш запрос одновременно. А ODoH разделяет эти две части информации. Клиент шифрует свой DNS-запрос публичным ключом резолвера (Target) например от CloudFlare. Затем он отправляет этот зашифрованный пакет не напрямую, а через прокси-сервер (Proxy). Другими словами, оператор интернета и Proxy видит ваш IP, но не видит запрос (какой сайт ищете). А Target (например от CloudFlare https://odoh.cloudflare-dns.com) видит запрос, но не видит ваш IP (Только видит IP в виде запроса от Proxy).
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79, #87

77. Сообщение от Аноним (77), 13-Май-26, 09:09	+/–
Мне категорически не нравится идея сращивания dns с dhcp в одном демоне, именно в контексте того, что сабж часто используется во всяких штуках типа openwrt. Часто бывает нужно использовать разных форвардеров для разных компов в сети, чтобы при этом работала общая система имён в локальной сети. Да или просто резолвить домен в разные ip в зависимости от того, кто его запрашивает. С одним демоном и общим dns кэшем такого не сделать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78, #82, #90

78. Сообщение от Аноним (21), 13-Май-26, 10:39	+/–
> Часто бывает нужно использовать разных форвардеров для разных компов в сети > Да или просто резолвить домен в разные ip в зависимости от того, кто его запрашивает. > С одним демоном и общим dns кэшем такого не сделать. Чому не сделать? Blocky так умеет, Adguard Home, вроде бы, тоже... Да, это уже софт не для роутеров  (ну, или не для всех), но всё же. Последний и в DHCP умеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #80, #84

79. Сообщение от Аноним83 (?), 13-Май-26, 11:24	+/–
Да да, за чей счёт содержатся те прокси и дох/дот сервера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

80. Сообщение от Аноним (77), 13-Май-26, 11:25	+/–
Часто нужен именно софт для роутеров, т.к. ребуется кормить "правильные" адреса устройствам, на которые невозможно установить софт, или отредактировать hosts, т.к. производитель не предусмотрел такое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

81. Сообщение от Аноним83 (?), 13-Май-26, 11:28	+/–
Ну вот в том и дело, что разворачивать этот шелл придётся с нуля - потому что в chroot окружении его нет, и делать это придётся в памяти процесса - тк места где можно поисать под noexec+nosuid смонтированы. А потом когда шелл будет развернут (в памяти процесса) окажется что это доступ в никуда - в лучшем случае данные отнесённые к приложению можно прочитать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

82. Сообщение от Аноним83 (?), 13-Май-26, 11:30	+/–
dnsmasq для закрытия потребности сети в DHCP+DNS+TFTP. Странные конфиги - это действительно мимо. У меня вот не возникало никогда потребностей которые вы описываете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

83. Сообщение от Аноним83 (?), 13-Май-26, 11:34	+/–
dnsmasq хороший и мне его долго хватало. Но unbound лучше работает с DNS, я его брал в основном из за рекурсера, чтобы перестать бегать и собирать везде списки рабочих DNS с кешем и рекурсией - побиратся надоело :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

84. Сообщение от Аноним (77), 13-Май-26, 11:36	+/–
Не нашёл нигде информации  о том, использует ли blocky отдельный кэш для разных групп, или кэш все-таки общий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

85. Сообщение от Аноним (92), 13-Май-26, 13:15	+/–
Вот что бывает, когда за дело берутся Универсальные программисты. Им что условный helloword сляпать, что в специфичный продукт комитить.
Ответить | Правка | Наверх | Cообщить модератору

86. Сообщение от Аноним (92), 13-Май-26, 13:22	+/–
Что-то forky в Debian отстает от других. Bookworm, trixie, sid уже устранили все описанные в статье уязвимости. https://security-tracker.debian.org/tracker/source-package/d...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #94

87. Сообщение от Аноним (92), 13-Май-26, 13:29	+/–
Кто сказал, что хозяин не общий? или Они могут просто "бартер" устроить и получить для двоих всю информацию о Вас.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

88. Сообщение от Аноним (92), 13-Май-26, 13:45	+/–
Как локальный акк подсунет серверу состряпанный dhcp6 пакет, если сервер принимает их только из интерфейса локальной сетки? Код злоумышлиника выполнится на local machine, на котором крутится уязвимый dnsmasq, а пакет будет пущен из локальной сети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

89. Сообщение от Аноним (92), 13-Май-26, 13:46	+/–
Что уже начальство песочит, тыкая в статью? )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

90. Сообщение от Аноним (92), 13-Май-26, 13:49	+/–
Не возникает фрагментации (расхождении) при развитие разных продуктов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

91. Сообщение от Аноним (92), 13-Май-26, 13:53	+/–
Не более чем, ранее, вычислительные методы исчисления интегралов, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

92. Сообщение от Аноним (92), 13-Май-26, 13:56	+/–
>У всех нормальных unbound. У кого не unbound - те ненормальные? Латентный шовинизм, прорывающийся вербально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

93. Сообщение от Аноним (93), 13-Май-26, 15:21	+/–
>  У всех нормальных unbound. Прям в роутере-мыльнице за 20 баксов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

94. Сообщение от Аноним (94), 13-Май-26, 19:40	+/–
Ну так forky сейчас предназначен только для тестирования. Для обычных пользователей Bookworm, Trixie и Sid (если хочется роллинг опыта =) )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема