Fwd: [SECURITY] Critical vulnerability in Gluon - Bugfix release on Thursday, 2022-05-05

sjw+ff3l at posteo.net sjw+ff3l at posteo.net
Di Mai 3 16:11:01 CEST 2022 

Hi

Danke für den Link.

 > [the flaw] is now tracked under CVE-2022-05-02.

Das ist jedenfalls keine valide CVE Bezeichnung.

Wo wird dann die Namensauflösung von uClibc-ng überall verwendet?
Auf den Freifunk Routern wird vordergründig eine VPN Verbindung und eine 
Verbindung zum Update Server aufgebaut - beide sind kryptografisch signiert.
Die Clients nutzen uClibc-ng eher weniger und bekommen einen separaten 
DNS über DHCP. Muss natürlich trotzdem gepatcht werden, aber das wäre 
immerhin nicht das worst case Szenario.

Lg
Jonas


Am 03.05.22 um 13:54 schrieb Axel Beckert:
> Hi,
> 
> On Tue, May 03, 2022 at 11:15:33AM +0200, David Lutz via ff3l wrote:
>> So wie es aussieht gibt es eine gravierende Sicherheitslücke in Gluon.
>>
>> Wie gravierend weiß ich nicht, jedoch ist sie wohl gravierend genug, dass
>> weitere Details erst am Donnerstag bekannt gegeben werden
> 
> Es sieht so aus, als wäre die Katze aus dem Sack:
> 
> https://www.bleepingcomputer.com/news/security/unpatched-dns-bug-affects-millions-of-routers-and-iot-devices/
> 
> Jedenfalls klingt das schwer danach:
> 
> »A vulnerability in the domain name system (DNS) component of a
> popular C standard library that is present in a wide range of IoT
> products may put millions of devices at DNS poisoning attack risk.
> 
> A threat actor can use DNS poisoning or DNS spoofing to redirect the
> victim to a malicious website hosted at an IP address on a server
> controlled by the attacker instead of the legitimate location.
> 
> The library uClibc and its fork from the OpenWRT team, uClibc-ng.
> Both variants are widely used by major vendors like Netgear, Axis, and
> Linksys, as well as Linux distributions suitable for embedded
> applications.«
> 
> 		Gruss, Axel
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature
Dateityp    : application/pgp-signature
Dateigröße  : 840 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.ff3l.net/pipermail/ff3l/attachments/20220503/9ea6f8cf/attachment.sig>

Mehr Informationen über die Mailingliste ff3l