我在我的开放/公共 WiFi 上发现以下漏洞。
“DNSmasq - 服务器缓存监听远程信息泄露”
这是一个 Linux 盒子,为客户提供 Internet 访问服务,我将其用作dnsmasqDNS 服务器。如何缓解此漏洞?我在网上找不到任何合理的解决方案。
笔记:Nessus 安全扫描已标记此问题。这里提到了该漏洞:https://www.tenable.com/plugins/nessus/12217。
答案1
我相信您只需要更新到此版本dnsmasq:
2.79版
修复 CNAME 参数的解析,该参数会因额外空格而混淆。感谢迭戈·阿吉雷发现了这个错误。
如果可用,请使用 IP_UNICAST_IF 或 IPV6_UNICAST_IF 将上游服务器绑定到接口,而不是 SO_BINDTODEVICE。感谢 Beniamino Galvani 提供的补丁。
始终向未设置递归所需位的 DNS 查询返回 SERVFAIL 答案,除非充当权威 DNS 服务器。这避免了潜在的缓存监听途径。
最后一段涵盖了它。