Dnsmasq vulnérabilité?

Support Debian
Tags: #<Tag:0x00007f63f28ce9e0>
#1

Bonjour,

J’ai vu le problème de sécurité relié au dnsmasq et je vois des mises à jour de sécurité ici et là , open wrt, dd wrt, linux mint, ubuntu mais je suis sur debian 10 avec l environnement " xfce" et je n’ai rien vu côté mise à jour?

Merci

#2

Dnsmasq est-il installé sur ta machine au moins ?

#3

Je croyais que ça venait par défault.

#4

Je l’ai sur ma machine et je ne vois pas de mise à jour non plus, mais il doit y avoir une bonne raison, genre, Debian utilise une version qui n’a pas la faille, par exemple…

#5

Non les paquets Debian n’ont pas (encore) reçu de correctif pour les failles multiples signalées ici : https://www.openwall.com/lists/oss-security/2021/01/19/1
Ex :
https://security-tracker.debian.org/tracker/CVE-2020-25687

1 J'aime
#6

il vaut mieux utiliser la version 2.83

apt policy dnsmasq
dnsmasq:
 Installé : 2.83-1
 Candidat : 2.83-1
Table de version :
*** 2.83-1 500
       500 https://cdn-aws.deb.debian.org/debian sid/main amd64 Packages
       500 https://cdn-aws.deb.debian.org/debian sid/main i386 Packages
       100 /var/lib/dpkg/status
    2.82-1 990
       990 https://cdn-aws.deb.debian.org/debian bullseye/main amd64 Packages
       990 https://cdn-aws.deb.debian.org/debian bullseye/main i386 Packages
    2.80-1 500
       500 https://cdn-aws.deb.debian.org/debian buster/main amd64 Packages
       500 https://cdn-aws.deb.debian.org/debian buster/main i386 Packages
    2.76-5+deb9u1 500
       500 https://cdn-aws.deb.debian.org/debian-security stretch/updates/main amd64 Packages
       500 https://cdn-aws.deb.debian.org/debian-security stretch/updates/main i386 Packages
    2.72-3+deb8u5 500
       500 https://cdn-aws.deb.debian.org/debian-security jessie/updates/main amd64 Packages
       500 https://cdn-aws.deb.debian.org/debian-security jessie/updates/main i386 Packages

apt policy dnsmasq-base
dnsmasq-base:
  Installé : 2.83-1
  Candidat : 2.83-1
 Table de version :
 *** 2.83-1 500
        500 https://cdn-aws.deb.debian.org/debian sid/main amd64 Packages
        100 /var/lib/dpkg/status
     2.82-1 990
        990 https://cdn-aws.deb.debian.org/debian bullseye/main amd64 Packages
     2.80-1 500
        500 https://cdn-aws.deb.debian.org/debian buster/main amd64 Packages
     2.76-5+deb9u1 500
        500 https://cdn-aws.deb.debian.org/debian-security stretch/updates/main amd64 Packages
     2.72-3+deb8u5 500
        500 https://cdn-aws.deb.debian.org/debian-security jessie/updates/main amd64 Packages
1 J'aime
#7

Sauf que la version en stable est 2.80, et pas de version backports.

Mais je ne l’utilise pas.

1 J'aime
#8

Ben, si j’ai bien compris, il suffit que le serveur amont soit sous le contrôle de l’utilisateur, comme c’est mon cas, le serveur amont de mon dnsmasq est un unbound qui tourne sur la même machine et qui fait des requêtes récursives.
J’ai bon ?

#9

Oui dans ce cas il n’y a aucun risque.
De toute façon pour qu’une attaque à distance (en dehors du réseau local) soit possible il faudrait que dnsmasq soit en écoute directement sur une adresse IP publique. Ce qui n’est normalement pas le cas.

#10

Oui, ce n’est normalement pas le cas…

#11

Pas sûr d’avoir compris le sens de ton image animée :wink:
Quand je dis « normalement », je veux dire sur une machine de bureau sous Debian (pas un routeur par exemple). De toute façon il me semble que dnsmasq n’est pas installé par défaut.

#12

Avec un desktop, si, mais pas en installation sans desktop.

#13

Ah bon ?
Ce n’est pas le cas sur Ubuntu, Arch, CentOS, Redhat, etc … je trouve ça surprenant que ce soit le cas sur Debian …
Surtout que de souvenir sur les version Buster il y a pas un micmac avec systemd-resolved ou autre ?

#14

je ne saurais te dire. Ce que je sais c’est que par défaut sur ma dernière installation desktop avec cinnamon, je me suis retrouvé avec dnsmasq, que je n’utilise pas qui plus est.

#15

J’avoue que comme clochette je suis surpris que tu aies dnsmasq par défaut car:

$ apt-cache policy dnsmasq
dnsmasq:
  Installé : (aucun)
  Candidat : 2.80-1.1ubuntu1.2
 Table de version :
     2.80-1.1ubuntu1.2 500
        500 http://fr.archive.ubuntu.com/ubuntu focal-updates/universe amd64 Packages
        500 http://fr.archive.ubuntu.com/ubuntu focal-updates/universe i386 Packages
        500 http://security.ubuntu.com/ubuntu focal-security/universe amd64 Packages
        500 http://security.ubuntu.com/ubuntu focal-security/universe i386 Packages
     2.80-1.1ubuntu1 500
        500 http://fr.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
        500 http://fr.archive.ubuntu.com/ubuntu focal/universe i386 Packages

:~$ echo $XDG_CURRENT_DESKTOP
X-Cinnamon
:~$

Mais bon je suis comme vous le voyez je suis ss ubuntu (ok je sais je suis un hérétique)

#16

Le package installé était dnsmask-common.

#17

Il provient de quel dépôts ?

Je ne connais pas de paquets de ce nom, et le paquet le plus proche est dnsmasq-base qui lui même ne procure pas le nécessaire pour faire tourner le daemon.

#18

dnsmasq-base pardon :slight_smile:
Et il avait bien été installé automatiquement lors de l’installation de mon desktop.

#19

Effectivement c’est systemd-resolved qui est utilisé comme résolveur cache local depuis au moins debian stretch et non pas dnsmasq.
Donc sur une installation standard Debian n’est pas concernée par ces failles.

#20

exact

dnsmasq-base:
  Installé : 2.80-1.1ubuntu1.2
  Candidat : 2.80-1.1ubuntu1.2
 Table de version :
 *** 2.80-1.1ubuntu1.2 500
        500 http://fr.archive.ubuntu.com/ubuntu focal-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu focal-security/main amd64 Packages
        100 /var/lib/dpkg/status
     2.80-1.1ubuntu1 500
        500 http://fr.archive.ubuntu.com/ubuntu focal/main amd64 Packages