Im September 2020 entdeckten Sicherheitsforscher der JSOF Research Labs sieben Sicherheitslücken im DNS- und DHCP-Server Dnsmasq. Die Lücken erlaubten sowohl DNS-Spoofing, Cache-Poisoning als auch verschiedene Buffer Overflows.
Gleich mehrere Angriffsszenarien
Das Forschungslabor fand heraus, dass Dnsmasq anfällig für einen DNS-Cache-Poisoning-Angriff durch einen Off-Path-Angreifer ist. Darunter versteht man einen Angreifer, der die Kommunikation zwischen dem DNS-Forwarder und dem DNS-Server nicht beobachtet. Der Angriff ermöglichte das Vergiften mehrerer Domain-Namen auf einmal und ist das Ergebnis mehrerer gefundener Sicherheitslücken.
DNSSEC ausgehebelt
Neben dem Cache-Poisoning-Angriff fand das Labor eine kritische Heap-Buffer-Overflow-Schwachstelle, die potenziell zu Remote-Code-Ausführung führen kann. Damit wird die Verteidigung von [wiki title=”Domain_Name_System_Security_Extensions”]DNSSEC[/wiki] gegen DNS-Angriffe unwirksam. Das Changelog zur neuen Version dnsmasq 2.83 listet die CVE-Nummern der Lücken auf, während die Webseite des JSOF Research Lab die DNSpooq getauften Lücken genauer erklärt.
Pi-hole aktualisieren!
Mit der Veröffentlichung der neuen Version von Dnsmasq erschien gleichzeitig auch ein Update für den Tracking- und Werbeblocker [wiki title=”Pi-hole”]Pi-hole[/wiki]. Anwender sind dringend angehalten, mittels pihole -up möglichst bald auf Pi-hole 5.5 zu aktualisieren, da Dnsmasq eine zentrale Komponente von Pi-hole ist, das auch als alternativer DHCP-Server verwendet werden kann.