CleanPress

Schlagwort: DNS

  • Dnsmasq schließt 7 Sicherheitslücken – Pi-hole in neuer Version

    Dashboard von Pi-hole

    Im September 2020 entdeckten Sicherheitsforscher der JSOF Research Labs sieben Sicherheitslücken im DNS- und DHCP-Server Dnsmasq. Die Lücken erlaubten sowohl DNS-Spoofing, Cache-Poisoning als auch verschiedene Buffer Overflows.

    Gleich mehrere Angriffsszenarien

    Das Forschungslabor fand heraus, dass Dnsmasq anfällig für einen DNS-Cache-Poisoning-Angriff durch einen Off-Path-Angreifer ist. Darunter versteht man einen Angreifer, der die Kommunikation zwischen dem DNS-Forwarder und dem DNS-Server nicht beobachtet. Der Angriff ermöglichte das Vergiften mehrerer Domain-Namen auf einmal und ist das Ergebnis mehrerer gefundener Sicherheitslücken.

    DNSSEC ausgehebelt

    Neben dem Cache-Poisoning-Angriff fand das Labor eine kritische Heap-Buffer-Overflow-Schwachstelle, die potenziell zu Remote-Code-Ausführung führen kann. Damit wird die Verteidigung von DNSSEC gegen DNS-Angriffe unwirksam. Das Changelog zur neuen Version dnsmasq 2.83 listet die CVE-Nummern der Lücken auf, während die Webseite des JSOF Research Lab die DNSpooq getauften Lücken genauer erklärt.

    Pi-hole aktualisieren!

    Mit der Veröffentlichung der neuen Version von Dnsmasq erschien gleichzeitig auch ein Update für den Tracking- und Werbeblocker Pi-hole. Anwender sind dringend angehalten, mittels pihole -up möglichst bald auf Pi-hole 5.5 zu aktualisieren, da Dnsmasq eine zentrale Komponente von Pi-hole ist, das auch als alternativer DHCP-Server verwendet werden kann.

  • Android wird etwas sicherer

    DNS over TLS

    Wie auf der Android-Entwicklerseite XDA-Developers zu lesen ist, erhält Android demnächst Unterstüztzung für »DNS über TLS«. DNS über TLS ist ein Protokoll, bei dem Domain-Name-Server-Abfragen auf derselben Ebene wie HTTPS verschlüsselt werden und somit ein DNS besuchte Webseiten nicht sehen kann.  Auch DNS-Hijacking wird damit verhindert. Das Protokoll  verwendet Transport Layer Security (TLS) auf Port 853 anstatt dem üblichen Port 53, um diese Verschlüsselung zu erreichen. TLS war früher auch als SSL bekannt.  Benutzer können auf das DNS von Google umsteigen, wenn sie von DNS über TLS profitieren möchten.

    Normalfall Klartext

    Bisher werden DNS-Anfragen im Klartext über UDP- oder TCP-Protokolle abgewickelt. Gibt jemand https://linuxnews.de in einen Browser ein, fragt der Browser bei einem DNS nach, der für die URL zur weiteren Verarbeitung die IP-Adresse 82.211.42.13 zurückgibt. Durch die Abwicklung per Klartext kann der Internet-Provider und jeder, der Zugriff auf die Verbindung hat, sehen, welche Seiten aufgerufen werden.

    Bald im Android-Update

    Einige kürzlich getätigte Commits für das Android Open Source Project (AOSP) lassen nun die Vermutung zu, dass Android bald DNS über TLS beherrschen wird. Den Commit zufolge soll bei den Entwickler-Optionen eine neue Einstellung hinzukommen, um DNS über TLS ein- und ausschalten zu können. Somit könnte diese Einstellung bereits mit Android 8.1in den Optionen für Anwender auftauchen.

    Nicht der Weisheit letzter Schluss

    Allerdings kommt das Geschenk mit einem Pferdefuss. Viele DNS unterstützen diese Verschlüsselung nicht. Alternative sind Googles DNS, die ein HTTPS-DNS-Interface bieten. Alternative zu Googles DNS ist OpenDNS. Zudem sieht der alternative DNS trotzdem das Ziel der Anfrage, was im Fall von Google natürlich nicht wünschenswert ist. Lediglich der ISP oder Angreifer zwischen dem Ausgangspunkt und dem DNS-Server sehen nichts. Eine weitere Alternative könnte auchg für Android künftig DNSCrypt sein.