3 Dnsmasq-Schwachstellen in Ubuntu behoben
Dnsmasq ist ein leichtgewichtiger, einfach zu konfigurierender DNS-Forwarder und DHCP-Server, der häufig in Linux-Distributionen verwendet wird. Er bietet DNS-Caching und -Weiterleitung, DHCP-Dienste, Router-Werbung und Netzwerk-Boot. In den letzten Updates hat das Ubuntu-Sicherheitsteam drei Schwachstellen in Dnsmasq behoben, einem weit verbreiteten kleinen DNS-Caching-Proxy und DHCP/TFTP-Server. Diese Updates sind wichtig, um die Sicherheit und Stabilität von Systemen zu gewährleisten, auf denen verschiedene Ubuntu-Versionen laufen, darunter Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 und Ubuntu 16.04.
Dnsmasq-Schwachstellen in Ubuntu
Gehen wir nun näher auf die Details dieser Schwachstellen ein und erläutern wir, wie die Korrekturen die potenziellen Risiken mindern.
CVE-2023-50387 (CVSS v3 Schweregrad: 7.5 Hoch)
Diese Sicherheitsanfälligkeit (CVE-2023-50387) betrifft die fehlerhafte Handhabung der Validierung von DNSSEC-Nachrichten. Sie könnte es einem entfernten Angreifer ermöglichen, über eine oder mehrere DNSSEC-Antworten einen Denial-of-Service (CPU-Verbrauch) auszulösen.
Eine weitere Dnsmasq-Schwachstelle (CVE-2023-50868) betrifft die unsachgemäße Vorbereitung eines NSEC3-Beweises für den engsten Kreis. In diesem Szenario könnte ein entfernter Angreifer diese Schwachstelle ausnutzen, um den Ressourcenverbrauch innerhalb von Dnsmasq auszulösen, was letztlich zu einem Denial-of-Service-Zustand führt.
CVE-2023-28450 (CVSS v3 Schweregrad: 7.5 Hoch)
Diese Sicherheitslücke (CVE-2023-28450) ist auf die falsche Konfiguration der maximalen EDNS.0 UDP-Paketgröße zurückzuführen, wie sie vom DNS Flag Day 2020 vorgeschrieben ist. Es wurde festgestellt, dass die standardmäßige maximale EDNS.0 UDP-Paketgröße auf 4096 statt auf 1232 eingestellt war.
Abmilderung der Risiken
Durch Ausnutzung dieser Dnsmasq-Schwachstellen könnten Angreifer den Netzwerkbetrieb stören und die Verfügbarkeit wichtiger Dienste gefährden. Den Benutzern wird dringend empfohlen, die Sicherheitsupdates umgehend zu installieren, um ihre Systeme vor möglichen Angriffen zu schützen. Denken Sie daran, dass diese Updates für End-of-Life-Systeme(Ubuntu 16.04 und Ubuntu 18.04) nur mit Extended Security Maintenance (ESM) über Ubuntu Pro verfügbar sind.
Anstelle eines kostspieligen Ubuntu Pro-Abonnements können Anwender eine kostengünstige Option wählen, den Extended Lifecycle Support von TuxCare für das Patchen ihrer Ubuntu 16.04- und Ubuntu 18.04-Systeme. TuxCare bietet Sicherheits-Patches in Herstellerqualität für weitere fünf Jahre nach dem Enddatum. Ubuntu 18.04 hat zum Beispiel am 31. Mai 2023 das Ende seiner Lebensdauer erreicht, so dass TuxCare bis 2028 Sicherheitsupdates für Ubuntu 18.04 bereitstellt.
Quelle: USN-6657-1