3 vulnérabilités Dnsmasq corrigées dans Ubuntu
Dnsmasq est un transitaire DNS et un serveur DHCP légers et faciles à configurer, couramment utilisés dans les distributions Linux. Il assure la mise en cache et la transmission du DNS, les services DHCP, l'annonce des routeurs et l'amorçage du réseau. Dans des mises à jour récentes, l'équipe de sécurité d'Ubuntu a corrigé trois vulnérabilités dans Dnsmasq, un petit proxy DNS de mise en cache et un serveur DHCP/TFTP largement utilisés. Ces mises à jour sont essentielles pour garantir la sécurité et la stabilité des systèmes utilisant les différentes versions d'Ubuntu, notamment Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 et Ubuntu 16.04.
Vulnérabilités de Dnsmasq dans Ubuntu
Examinons maintenant les détails de ces vulnérabilités et la manière dont les correctifs permettent d'atténuer les risques potentiels.
CVE-2023-50387 (score de gravité CVSS v3 : 7.5 élevé)
Cette vulnérabilité (CVE-2023-50387) concerne la mauvaise gestion de la validation des messages DNSSEC. Elle pourrait potentiellement permettre à un attaquant distant de provoquer un déni de service (consommation de CPU) via une ou plusieurs réponses DNSSEC.
Une autre vulnérabilité de Dnsmasq (CVE-2023-50868) concerne la préparation incorrecte d'une preuve de clôture NSEC3. Dans ce scénario, un attaquant distant pourrait exploiter cette faiblesse pour déclencher une consommation de ressources au sein de Dnsmasq, ce qui aboutirait à un déni de service.
CVE-2023-28450 (score de gravité CVSS v3 : 7.5 élevé)
Cette vulnérabilité (CVE-2023-28450) est due à une mauvaise configuration de la taille maximale des paquets EDNS.0 UDP, comme l'exige le DNS Flag Day 2020. Il a été constaté que la taille maximale par défaut des paquets UDP EDNS.0 était fixée à 4096 au lieu de 1232.
Atténuer les risques
En exploitant ces vulnérabilités de Dnsmasq, les attaquants pourraient perturber les opérations du réseau et compromettre la disponibilité de services essentiels. Il est vivement conseillé aux utilisateurs d'appliquer rapidement les mises à jour de sécurité afin de protéger leurs systèmes contre les attaques potentielles. N'oubliez pas que pour les systèmes en fin de vie(Ubuntu 16.04 et Ubuntu 18.04), ces mises à jour ne sont disponibles qu'avec l'Extended Security Maintenance (ESM) via Ubuntu Pro.
Au lieu d'un abonnement coûteux à Ubuntu Pro, les utilisateurs peuvent choisir une option abordable, l'Extended Lifecycle Support de TuxCare, pour patcher leurs systèmes Ubuntu 16.04 et Ubuntu 18.04. TuxCare offre des correctifs de sécurité de qualité pour une période supplémentaire de cinq ans après la date de fin de l'abonnement. Par exemple, Ubuntu 18.04 a atteint sa fin de vie le 31 mai 2023, donc TuxCare fournira des mises à jour de sécurité pour Ubuntu 18.04 jusqu'en 2028.
Source : USN-6657-1