Fwd: [SECURITY] Critical vulnerability in Gluon - Bugfix release on Thursday, 2022-05-05
Axel Beckert
abe at deuxchevaux.org
Di Mai 3 16:29:08 CEST 2022
Hi,
On Tue, May 03, 2022 at 02:11:01PM +0000, sjw+ff3l at posteo.net wrote:
> > [the flaw] is now tracked under CVE-2022-05-02.
>
> Das ist jedenfalls keine valide CVE Bezeichnung.
Oh, gar nicht bemerkt. In der Tat. *prust*
> Wo wird dann die Namensauflösung von uClibc-ng überall verwendet?
Gute Frage.
> Auf den Freifunk Routern wird vordergründig eine VPN Verbindung und
> eine Verbindung zum Update Server aufgebaut
Genau diese beiden Dinge fallen mir auch ein.
> - beide sind kryptografisch signiert.
Davon gehe ich auch aus, ja. :-)
> Die Clients nutzen uClibc-ng eher weniger und bekommen einen
> separaten DNS über DHCP.
Ja, aber wenn eine Client-Software einen DNS-Lookup macht, dann macht
das per Default die libc. Und diese fragt dann halt den in der
/etc/resolv.conf konfigurierten DNS-Server. Und schaut vorher
vermutlich noch in /etc/hosts nach, je nach Konfig...
> Muss natürlich trotzdem gepatcht werden, aber das wäre immerhin
> nicht das worst case Szenario.
Jupp. Insofern gibt's wahrscheinlich bei anderen IoT-Devices oder
Heim-Routern eher Impact als beim Freifunk.
Aber wenn's da ein Embargo gibt (oder gab), dann verstehe ich, warum
die Gluon-Entwickler sich vielleicht an die offizielle Formulierung
zur Lücke halten oder so. Auch wenn's für Gluon selbst ggf. weniger
heftig scheint.
Gruss, Axel
--
PGP: 2FF9CD59612616B5 /~\ Plain Text Ribbon Campaign, http://arc.pasp.de/
Mail: abe at deuxchevaux.org \ / Say No to HTML in E-Mail and Usenet
Mail+Jabber: abe at noone.org X
https://axel.beckert.ch/ / \ I love long mails: https://email.is-not-s.ms/
Mehr Informationen über die Mailingliste ff3l