Fwd: [SECURITY] Critical vulnerability in Gluon - Bugfix release on Thursday, 2022-05-05
David Lutz
kpanic at ff3l.net
Di Mai 3 16:54:28 CEST 2022
Das einzige was die Router sonst noch machen (falls nicht deaktiviert)
ist die automatische Segmentwahl. [1] Dabei werden die Koordinaten von
einer zentralen Geo-API zum Segment aufgelöst. Diese Anfrage ist
tatsächlich nicht signiert. Allerdings könnte ein potentieller Angreifer
damit maximal einen Knoten in ein anderes Segment verschieben.
Und ansonsten kann er durch Vermurksen der Auflösung der
Gateway/Update-Hostnamen maximal verhindern, dass sich der Knoten zum
Gateway verbinden kann respektive sich updaten kann.
*Wenn* es sich um diese Lücke handelt. Wir dürfen gespannt bleiben…
Gruß
David
[1]
https://github.com/ff3l/packages/blob/master/gluon-segment-mover/files/lib/gluon/gluon-segment-mover/relocate.lua
On 03.05.22 16:29, Axel Beckert wrote:
> Hi,
>
> On Tue, May 03, 2022 at 02:11:01PM +0000, sjw+ff3l at posteo.net wrote:
>>> [the flaw] is now tracked under CVE-2022-05-02.
>> Das ist jedenfalls keine valide CVE Bezeichnung.
> Oh, gar nicht bemerkt. In der Tat. *prust*
>
>> Wo wird dann die Namensauflösung von uClibc-ng überall verwendet?
> Gute Frage.
>
>> Auf den Freifunk Routern wird vordergründig eine VPN Verbindung und
>> eine Verbindung zum Update Server aufgebaut
> Genau diese beiden Dinge fallen mir auch ein.
>
>> - beide sind kryptografisch signiert.
> Davon gehe ich auch aus, ja. :-)
>
>> Die Clients nutzen uClibc-ng eher weniger und bekommen einen
>> separaten DNS über DHCP.
> Ja, aber wenn eine Client-Software einen DNS-Lookup macht, dann macht
> das per Default die libc. Und diese fragt dann halt den in der
> /etc/resolv.conf konfigurierten DNS-Server. Und schaut vorher
> vermutlich noch in /etc/hosts nach, je nach Konfig...
>
>> Muss natürlich trotzdem gepatcht werden, aber das wäre immerhin
>> nicht das worst case Szenario.
> Jupp. Insofern gibt's wahrscheinlich bei anderen IoT-Devices oder
> Heim-Routern eher Impact als beim Freifunk.
>
> Aber wenn's da ein Embargo gibt (oder gab), dann verstehe ich, warum
> die Gluon-Entwickler sich vielleicht an die offizielle Formulierung
> zur Lücke halten oder so. Auch wenn's für Gluon selbst ggf. weniger
> heftig scheint.
>
> Gruss, Axel
Mehr Informationen über die Mailingliste ff3l