Fwd: [SECURITY] Critical vulnerability in Gluon - Bugfix release on Thursday, 2022-05-05

[Kaito Kid]

Improper verification of cryptographic signature in Gluon's autoupdater

https://github.com/freifunk-gluon/gluon/security/advisories/GHSA-xqhj-fmc7-f8mv

-----
Step right this way. Watch Carefully!

Kaito Kid

On 03.05.22 16:54, David Lutz via ff3l wrote:
> Das einzige was die Router sonst noch machen (falls nicht deaktiviert) ist die automatische Segmentwahl. [1] Dabei werden die Koordinaten von einer zentralen Geo-API zum Segment aufgelöst. Diese 
> Anfrage ist tatsächlich nicht signiert. Allerdings könnte ein potentieller Angreifer damit maximal einen Knoten in ein anderes Segment verschieben.
> 
> Und ansonsten kann er durch Vermurksen der Auflösung der Gateway/Update-Hostnamen maximal verhindern, dass sich der Knoten zum Gateway verbinden kann respektive sich updaten kann.
> 
> *Wenn* es sich um diese Lücke handelt. Wir dürfen gespannt bleiben…
> 
> Gruß
> 
> David
> 
> 
> [1] https://github.com/ff3l/packages/blob/master/gluon-segment-mover/files/lib/gluon/gluon-segment-mover/relocate.lua
> 
> On 03.05.22 16:29, Axel Beckert wrote:
>> Hi,
>>
>> On Tue, May 03, 2022 at 02:11:01PM +0000, sjw+ff3l at posteo.net wrote:
>>>> [the flaw] is now tracked under CVE-2022-05-02.
>>> Das ist jedenfalls keine valide CVE Bezeichnung.
>> Oh, gar nicht bemerkt. In der Tat. *prust*
>>
>>> Wo wird dann die Namensauflösung von uClibc-ng überall verwendet?
>> Gute Frage.
>>
>>> Auf den Freifunk Routern wird vordergründig eine VPN Verbindung und
>>> eine Verbindung zum Update Server aufgebaut
>> Genau diese beiden Dinge fallen mir auch ein.
>>
>>> - beide sind kryptografisch signiert.
>> Davon gehe ich auch aus, ja. :-)
>>
>>> Die Clients nutzen uClibc-ng eher weniger und bekommen einen
>>> separaten DNS über DHCP.
>> Ja, aber wenn eine Client-Software einen DNS-Lookup macht, dann macht
>> das per Default die libc. Und diese fragt dann halt den in der
>> /etc/resolv.conf konfigurierten DNS-Server. Und schaut vorher
>> vermutlich noch in /etc/hosts nach, je nach Konfig...
>>
>>> Muss natürlich trotzdem gepatcht werden, aber das wäre immerhin
>>> nicht das worst case Szenario.
>> Jupp. Insofern gibt's wahrscheinlich bei anderen IoT-Devices oder
>> Heim-Routern eher Impact als beim Freifunk.
>>
>> Aber wenn's da ein Embargo gibt (oder gab), dann verstehe ich, warum
>> die Gluon-Entwickler sich vielleicht an die offizielle Formulierung
>> zur Lücke halten oder so. Auch wenn's für Gluon selbst ggf. weniger
>> heftig scheint.
>>
>>         Gruss, Axel
>