1

Temat: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Jeżeli ktoś śledzi wiadomości to wie że kilka dni temu wykryto i naprawiono kilka poważnych podatności w dnsmasq - czyli głównym procesie odpowiadającym za dhcp i dns w openwrt. Z tego powodu wydano na szybko nową wersję poprawkową openwrt, zaś odpowiednio zaktualizowane pakiety dnsmasq są dostępne w wydaniu 19.07 i wersji rozwojowej (wersja 18.06 nie  otrzymała już poprawek, nie jest ona rozwijana i utrzymywana).

Moje kompilacje były planowane na ten weekend, ale wygląda na to że dnsmasq dotknął inny problem (masa spamu w logach - szczegóły tutaj: https://forum.openwrt.org/t/security-ad … s/85903/22, dotyczy maszyn z Windows i MacOS z ipv6), więc chwilowo postanowiłem jeszcze zaczekać.

Jeżeli ktoś obawia się problemów proszę nie czekać na moje obrazy tylko zaktualizować sobie sam pakiet dnsmasq, ale należy pamiętać o wspomnianym problemie. Moje nowe obrazy będą dostępne tak szybko jak to możliwe.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

2

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

dzięki  załatane  - na razie u mnie na dnsmasq - 2.80-16.2 for stable 19.07 release  nie zauważyłem  spamu w logu

3

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Nowe obrazy zawierające połatany dnsmasq są już dostępne do pobrania.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

4

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Hej Cezary, na 18.06 też da radę to wrzucić?? Korzystam z gargoyle 1.12 na netgear r6220 i niestety ostatnia dostępna to :

 dnsmasq - 2.80-1.4 

5

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Sama binarka (nie cały pakiet) może się nawet uruchomić. Mimo wszystko przejdź na 19.07, to co masz nie jest rozwijane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

6

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

To w takim razie poczekam na stabilną wersję gargoyle 1.13. Mam wrażenie ze jest mniej stabilna jesli chodzi o r6220 (złapałem crasha kernela 2 razy), niestety logów brak wiec nie zgłaszalem tego nigdzie.

7

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Kompiluję gargoyle już od prawie roku, mimo że oficjalnie nie zostało wydane. OpenWrt na którym się to gargoyle opiera jest jeszcze utrzymywane ale dosłownie za rogiem czeka następne wydanie stabilne. Przy odrobienie przypadku były by ono oznaczone już w grudniu zeszłego roku. Więc nie czekaj na ostatecznie wydanie, bo może że okazać że będzie to za jakiś czas a i wtedy będzie już oparte o starsze wydanie które ledwo będzie utrzymywane.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

8

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Przekonales mnie. W *najnowszym Gargoyle 1.13 jest:

root@mir3g:~# opkg list-installed | grep dnsmasq
dnsmasq - 2.80-16.3

*

Gargoyle PL 1.13.0.0pre9 (0c75cab9)
  OpenWrt 19.07-SNAPSHOT, r11285-11f4918ebb  

9

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Dokładnie to co w 19.07, tak.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

10

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

@cezary kompilujesz wersję "full"? Nie widzę w pakietach x86.

Rozumiem, że oprócz upgrade'u dodatkowo najlepiej jeszcze zmienić konfigurację?

2. Configuration based mitigation via commandline

    Mitigation for DNS cache poisoning is disabling of caching:

    uci set dhcp.@dnsmasq[0].cachesize='0'

    Mitigation for DNSSEC vulnerability is disabling of DNSSEC feature:

    uci set dhcp.@dnsmasq[0].dnssec='0'

    It's recommended to reduce the maximum of queries allowed to be forwarded (default is 150):

    uci set dhcp.@dnsmasq[0].dnsforwardmax='50'

    Then you should commit changes and restart dnsmasq:

    uci commit dhcp && /etc/init.d/dnsmasq restart
APU2 @ OpenWrt 18.06-SNAPSHOT, r7852-7ac6044632
EA4500 @ OpenWrt 18.06.4, r7808-ef686b7292

11

Odp: Krytyczna poprawka bezpieczeństwa - nowe kompilacje 19.07

Nie, wersja full jest za to repo openwrt.

Nie musisz tego ustawiać jeżeli masz zaktualizowaną wersję. Właśnie łatki to naprawiały.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.