Bonjour,
J’ai vu le problème de sécurité relié au dnsmasq et je vois des mises à jour de sécurité ici et là , open wrt, dd wrt, linux mint, ubuntu mais je suis sur debian 10 avec l environnement " xfce" et je n’ai rien vu côté mise à jour?
Merci
Bonjour,
J’ai vu le problème de sécurité relié au dnsmasq et je vois des mises à jour de sécurité ici et là , open wrt, dd wrt, linux mint, ubuntu mais je suis sur debian 10 avec l environnement " xfce" et je n’ai rien vu côté mise à jour?
Merci
Dnsmasq est-il installé sur ta machine au moins ?
Je croyais que ça venait par défault.
Je l’ai sur ma machine et je ne vois pas de mise à jour non plus, mais il doit y avoir une bonne raison, genre, Debian utilise une version qui n’a pas la faille, par exemple…
Non les paquets Debian n’ont pas (encore) reçu de correctif pour les failles multiples signalées ici : https://www.openwall.com/lists/oss-security/2021/01/19/1
Ex :
https://security-tracker.debian.org/tracker/CVE-2020-25687
il vaut mieux utiliser la version 2.83
apt policy dnsmasq
dnsmasq:
Installé : 2.83-1
Candidat : 2.83-1
Table de version :
*** 2.83-1 500
500 https://cdn-aws.deb.debian.org/debian sid/main amd64 Packages
500 https://cdn-aws.deb.debian.org/debian sid/main i386 Packages
100 /var/lib/dpkg/status
2.82-1 990
990 https://cdn-aws.deb.debian.org/debian bullseye/main amd64 Packages
990 https://cdn-aws.deb.debian.org/debian bullseye/main i386 Packages
2.80-1 500
500 https://cdn-aws.deb.debian.org/debian buster/main amd64 Packages
500 https://cdn-aws.deb.debian.org/debian buster/main i386 Packages
2.76-5+deb9u1 500
500 https://cdn-aws.deb.debian.org/debian-security stretch/updates/main amd64 Packages
500 https://cdn-aws.deb.debian.org/debian-security stretch/updates/main i386 Packages
2.72-3+deb8u5 500
500 https://cdn-aws.deb.debian.org/debian-security jessie/updates/main amd64 Packages
500 https://cdn-aws.deb.debian.org/debian-security jessie/updates/main i386 Packages
apt policy dnsmasq-base
dnsmasq-base:
Installé : 2.83-1
Candidat : 2.83-1
Table de version :
*** 2.83-1 500
500 https://cdn-aws.deb.debian.org/debian sid/main amd64 Packages
100 /var/lib/dpkg/status
2.82-1 990
990 https://cdn-aws.deb.debian.org/debian bullseye/main amd64 Packages
2.80-1 500
500 https://cdn-aws.deb.debian.org/debian buster/main amd64 Packages
2.76-5+deb9u1 500
500 https://cdn-aws.deb.debian.org/debian-security stretch/updates/main amd64 Packages
2.72-3+deb8u5 500
500 https://cdn-aws.deb.debian.org/debian-security jessie/updates/main amd64 Packages
Sauf que la version en stable est 2.80, et pas de version backports.
Mais je ne l’utilise pas.
Ben, si j’ai bien compris, il suffit que le serveur amont soit sous le contrôle de l’utilisateur, comme c’est mon cas, le serveur amont de mon dnsmasq est un unbound qui tourne sur la même machine et qui fait des requêtes récursives.
J’ai bon ?
Oui dans ce cas il n’y a aucun risque.
De toute façon pour qu’une attaque à distance (en dehors du réseau local) soit possible il faudrait que dnsmasq soit en écoute directement sur une adresse IP publique. Ce qui n’est normalement pas le cas.
Oui, ce n’est normalement pas le cas…
Pas sûr d’avoir compris le sens de ton image animée
Quand je dis « normalement », je veux dire sur une machine de bureau sous Debian (pas un routeur par exemple). De toute façon il me semble que dnsmasq n’est pas installé par défaut.
Avec un desktop, si, mais pas en installation sans desktop.
Ah bon ?
Ce n’est pas le cas sur Ubuntu, Arch, CentOS, Redhat, etc … je trouve ça surprenant que ce soit le cas sur Debian …
Surtout que de souvenir sur les version Buster il y a pas un micmac avec systemd-resolved ou autre ?
je ne saurais te dire. Ce que je sais c’est que par défaut sur ma dernière installation desktop avec cinnamon, je me suis retrouvé avec dnsmasq, que je n’utilise pas qui plus est.
J’avoue que comme clochette je suis surpris que tu aies dnsmasq par défaut car:
$ apt-cache policy dnsmasq
dnsmasq:
Installé : (aucun)
Candidat : 2.80-1.1ubuntu1.2
Table de version :
2.80-1.1ubuntu1.2 500
500 http://fr.archive.ubuntu.com/ubuntu focal-updates/universe amd64 Packages
500 http://fr.archive.ubuntu.com/ubuntu focal-updates/universe i386 Packages
500 http://security.ubuntu.com/ubuntu focal-security/universe amd64 Packages
500 http://security.ubuntu.com/ubuntu focal-security/universe i386 Packages
2.80-1.1ubuntu1 500
500 http://fr.archive.ubuntu.com/ubuntu focal/universe amd64 Packages
500 http://fr.archive.ubuntu.com/ubuntu focal/universe i386 Packages
:~$ echo $XDG_CURRENT_DESKTOP
X-Cinnamon
:~$
Mais bon je suis comme vous le voyez je suis ss ubuntu (ok je sais je suis un hérétique)
Le package installé était dnsmask-common.
Il provient de quel dépôts ?
Je ne connais pas de paquets de ce nom, et le paquet le plus proche est dnsmasq-base qui lui même ne procure pas le nécessaire pour faire tourner le daemon.
dnsmasq-base pardon
Et il avait bien été installé automatiquement lors de l’installation de mon desktop.
Effectivement c’est systemd-resolved qui est utilisé comme résolveur cache local depuis au moins debian stretch et non pas dnsmasq.
Donc sur une installation standard Debian n’est pas concernée par ces failles.
exact
dnsmasq-base:
Installé : 2.80-1.1ubuntu1.2
Candidat : 2.80-1.1ubuntu1.2
Table de version :
*** 2.80-1.1ubuntu1.2 500
500 http://fr.archive.ubuntu.com/ubuntu focal-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu focal-security/main amd64 Packages
100 /var/lib/dpkg/status
2.80-1.1ubuntu1 500
500 http://fr.archive.ubuntu.com/ubuntu focal/main amd64 Packages