Sicherheitsrelevant? dnsmasq liefert das AD-Flag, und lügt dabei

17/09/2014 - 11:40 von Heiko Schlittermann | Report spam

Hallo,

wenn ein lokaler Client einen lokalen DNS-Resolver fragt (127.0.0.1) und
dieser bei einer Antwort das „AD“-Flag setzt (authenticated data) um
eine erfolgreiche DNSSec-Validierung zu signalisieren, diese Validierung
aber nie gemacht hat, wà¼rdet ihr das dann als Sicherheitproblem sehen?

Zu beobachten ist das bei dem dnsmasq, der dem aktuellen Debian Wheezy
beiliegt. Jede nicht-erste Query an den lokal laufenden dnsmasq
beantworte der mit gesetztem AD Flag. Auch wenn der angefragt Name
à¼berhaupt ganz und gar nicht per DNSSec geschà¼tzt ist!

(Konfiguriert ist er als DNSSec-Proxy, wà¼rde die Validierung im
Zweifelsfall also auch nicht selbst machen - aber das ist eine andere
Geschichte.)

Best regards from Dresden/Germany
Viele Grà¼àŸe aus Dresden
Heiko Schlittermann
SCHLITTERMANN.de - internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome key ID: 7CBF764A -
gnupg fingerprint: 9288 F17D BBF9 9625 5ABC 285C 26A9 687E 7CBF 764A -
(gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B)-





Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/20140917092205.GB17598@jumper.schlittermann.de
 

Lesen sie die antworten

#1 Stefan Baur
17/09/2014 - 11:40 | Warnen spam
Am 17.09.2014 um 11:22 schrieb Heiko Schlittermann:
<seltsames dnsmasq-Verhalten>

Stehen im Commit-Log des dnsmasq-Sources Eintràge mit dem Namen "Robin
Seggelmann"? (SCNR)

-Stefan


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen