Net(t)works e. V. News

DNS Security - Dnsmasq Update und Aufruf zum Testen

Tue, 22 Jul 2008 11:48:00 +0200

Im Rahmen des Tests der neuen dnsmasq-Versionen wurden einige Probleme erkannt und behoben. Um sicherzustellen, da� Fli4l bei Ver�ffentlichung des Angriffs am 6.8.2008 (es ist bisher ja noch nicht bekannt, wie er funktioniert) �ber einen stabilen dnsmasq verf�gt, ist ein breiter Test notwendig. Die zur Verf�gung stehende Version ist inzwischen recht stabil und wird im Fehlerfalle nach einer Meldung im Syslog automatisch neu gestartet. Das Risiko, mit einem nicht funktionierenden Router dazustehen, ist also inzwischen vernachl�ssigbar gering. Das Fli4l-Team bitte daher alle, die dazu in der Lage sind, die aktuelle Version zu testen.
Der Artikel "DNS Security Advisory und Fli4l" wurde aktualisiert und enth�lt Referenzen auf die aktuelle dnsmasq-Version.

DNS Security Artikel nochmals aktualisiert

Tue, 15 Jul 2008 23:47:00 +0200

Der DNS Security Artikel wurde aktualisiert mit Hinweisen dar�ber, da� dnsmasq tats�chlich anf�llig...

DNS Security Advisory und Fli4l - Update III

Fri, 11 Jul 2008 10:23:00 +0200

Verschiedene Medien berichteten in den letzten Tagen �ber ein potentielles Sicherheitsproblem in Namensdiensten, z.B. Heise.

Fli4l stellt ebenfalls einen Name-Server bereit, der Namensaufl�sungen durchf�hrt und deren Ergebnisse zwischenspeichert. Fli4l verwendet dazu dnsmasq. Der Autor hat umgehend auf das Security Advisory reagiert und eine der vorgeschlagenen Gegenma�nahmen in die Version 2.43 des dnsmasq eingebaut. Die genaue Diskussion dazu kann man auf der englischsprachigen Mailingliste verfolgen (Impact of CVE-2008-1447 forgery resilience und folgende Artikel zur Version 2.43, deutsche �bersetzung der ersten Reaktion des Authors).

Der Author mit Dan Kaminsky, dem Authoren des Security Advisories unterhalten und best�tigt, das dnsmasq auch anf�llig f�r die gefundene Attacke ist. Ein Update ist also notwendig.

In der Zwischenzeit ist auch bekannt geworden, wie der Angriff l�uft. Ein Artikel auf dem Heise Newsticker beschreibt den Angriff genauer. Die Annahme, da� noch bis zur Black Hat Konferenz am 6.8.2008 Zeit w�re, ist also falsch.

Die notwendigen �nderungen im dnsmasq waren recht umfangreich, die Zeit f�r einen sorgf�ltigen Test recht knapp. So rutschte z.B. ein Bug im dhcp-Teil des dnsmasq beim Testen durch, der dazu f�hren kann, da� der dnsmasq sich beendet. Ein anderes Problem trat nur in einer ganz speziellen Situation auf, die relativ selten eintrat, in einem Fall erst nach 8 Tagen Laufzeit, bei anderen trat die Situation gar nicht ein. Erkannt wurde letzteres Problem von einem Fli4l-Nutzer der einen der hier ver�ffentlichten Test-Kandidaten nutzte.

Die Probleme wurden nach und nach vom Authoren des dnsmasq behoben und dnsmasq ist inzwischen bei Version 2.45 angelangt. Um sicherzustellen, da� Fli4l �ber einen stabilen dnsmasq verf�gt, ist ein breiter Test notwendig. Die zur Verf�gung stehende Version ist inzwischen recht stabil und wird im Fehlerfalle nach einer Meldung im Syslog automatisch neu gestartet. Das Risiko, mit einem nicht funktionierenden Router dazustehen, ist also inzwischen vernachl�ssigbar gering. Das Fli4l-Team bitte daher alle, die dazu in der Lage sind, die aktuelle Version zu testen.

Wer testen will, findet die Version zusammen mit einem modifizierten Startupscript in einem dnsmasq-update auf Version 2.45. Das Startupscript startet den dnsmasq automatisch neu, wenn er sich beendet und generiert einen entsprechenden Eintrag im Syslog. Entsprechende Rueckmeldungen in der Newsgroup sind willkommen.

eisxen RC3 verf�gbar

Thu, 29 May 2008 11:46:00 +0200

Nachdem ein trivialer Fehler mit schweren Folgen entdeckt wurde (ein essentieller Men�-Eintrag fehlte), steht nun der RC3 von eisxen im Download-Bereich zur Verf�gung.

Release der stabilen fli4l Version 3.2.1

Wed, 28 May 2008 14:56:00 +0200

Im Rahmen des Linuxtages 2008 in Berlin wurde die fli4l-Version 3.2.1 relased.

Mehr Infos, die Releasenotes und der Download der einzelnen Pakete auf den Seiten der stabilen Version.

eisfair2 RC1 released / eisxen RC2 released

Wed, 28 May 2008 12:46:00 +0200

eisfair2 RC1

Kernel 2.6.23.17-1
glibc 2.7
Die Basis wurde auf Ubuntu 8.04 LTS umgestellt.
Der Installer unterst�tzt jetzt eine RAID1 Installation.
F�r die data Partition kann im Installer ein lvm Volume angelegt werden.

eisxen RC2

Kernel 2.6.18.8 wird verwendet.
Die Basis wurde auf eisfair-2 RC1 umgestellt (Ubuntu 8.04).
Xen 3.1.4 wird verwendet.

Weitere Infos sowie Download der ISO-Images

Wir bitten um Testberichte.

OpenSSL-Probleme und Fli4l

Mon, 19 May 2008 09:42:00 +0200

In den letzten Tagen war viel �ber die Probleme mit OpenSSL und Debian zu lesen, z.B. im Heise Newsticker. Im folgenden soll kurz diskutiert werden, inwieweit auch Fli4l von diesen Problemen betroffen ist.

Ist fli4l betroffen?
Sind die von mir verwendeten Schluessel betroffen?
Welche Pakete arbeiten mit Schl�sseln, die erneuert werden m�ssen?
Wo finde ich weiterf�hrende Informationen?

1. Ist fli4l betroffen?

Die von Fli4l verwendete openssl Version ist nicht von Debian abgeleitet, sondern basieren direkt auf den Original-Quellen. Eine �nderung wie die, die in Debian zu den Problemen gef�hrt hat, ist dort nicht zu finden.

Die von Fli4l verwendeten Quellen und Anpassungen an fli4l sind im Buildroot-Paket zu finden. Dort kann man nachschauen, falls man sich selbst vergewissern m�chte.

2. Sind die von mir verwendeten Schl�ssel betroffen?

Fli4l arbeitet teilweise mit Schl�sseln, die unter Umst�nden auf anderen Systemen erzeugt wurden (ssh und Openvpn-Keys z.B.). Wurden diese Schl�ssel auf einem Debian- oder einem davon abgeleiteten betroffenen System(Ubuntu-Varianten, Knoppix, ...) erzeugt, sind diese Schl�ssel betroffen und m�ssen erneuert werden. Genauere Informationen zu den betroffenen Systemen sind im eingangs zitierten Artikel zu finden zu finden.

3. Welche Pakete arbeiten mit Schl�sseln, die erneuert werden muessen?

Von den offiziellen Paketen sind das ssh- und das OpenVPN-Paket betroffen, beide arbeiten mit asymetrischen Schl�sseln, die gepr�ft und unter Umst�nden erneuert werden m�ssen.

4. Wo finde ich weiterf�hrende Informationen?

Weiterf�hrende Informationen sind z.B. hier zu finden:

eisfair 1.5.2b ISO Image

Mon, 05 May 2008 18:44:00 +0200

Ab sofort steht die �berarbeitete Version 1.5.2b im Bereich Download zur Verf�gung. Diese Version ist identisch zur Vorversion, sie wurde lediglich Rockridge- bzw. Joliet-konform neu erstellt, so dass nun auch die darauf befindlichen initialen Pakete direkt von CD installierbar sind.

eisfair 1.5.2 ISO Image

Thu, 01 May 2008 00:10:00 +0200

Die Version 1.5.2 steht im Bereich Download nun auch als ISO-Image zur Verf�gung. Diese Version bringt den Kernel 2.4.35-wt1 mit und erm�glicht das direkte Installieren auf SATA-Festplatten. Ausserdem werden USB-Tastaturen unterst�tzt.

OPT_ASTERISK in der fli4l OPT-Datenbank

Sat, 19 Apr 2008 18:31:00 +0200

Heutige Router im SOHO-Bereich verf�gen �ber ausreichende Leistungsreserven, um auch die Funktionalit�t einer kleinen Telefonanlage �bernehmen zu k�nnen. Asterisk ist eine besonders flexible Plattform mit deren Hilfe eine solche Telefonanlage eingerichtet werden kann.

Diese OPT beschr�nkt sich funktionell auf reines Protokoll-routing. Das hei�t, die Unterst�tzung von zus�tzlicher Hardware, wie zum Beispiel BRIstuffed/Zaptel, ist nicht vorgesehen. Das begr�ndet sich in der Tatsache, dass fli4l ein Router Betriebssystem ist und ideologisch die darauf laufenden OPTs sich auf Protokoll-routing beschr�nken sollten. Wer zus�tzliche Hardware einsetzen m�chte, m�ge sich bitte an den "gro�en Bruder" des fli4l, den eisfair Server wenden.

Mehr Information in der Beschreibung des OPT_ASTERISK in der fli4l OPT-Datenbank