Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: Unbound 1.10.1

Unbound logo (79 pix) Als je een dns-look-up uitvoert, begint een recursor in eerste instantie met het stellen van de look-upvraag aan een dns-rootserver. Deze kan dan doorverwijzen naar andere servers, vanaf waar weer doorverwezen kan worden naar andere servers enzovoort, totdat uiteindelijk een server is bereikt die het antwoord weet of weet dat de look-up niet mogelijk is. Van dit laatste kan sprake zijn als de naam niet bestaat of de servers niet reageren. Het proces van het langslopen van verschillende authoritative servers heet recursie. Unbound is een dns-recursor met ondersteuning voor moderne standaarden, zoals Query Name Minimisation, Aggressive Use of Dnssec-Validated Cache en authority zones. De ontwikkelaars hebben enkele dagen geleden versie 1.10.1 uitgebracht en daarin zijn twee beveiligingsproblemen verholpen:

Bug Fixes
  • CVE-2020-12662 Unbound can be tricked into amplifying an incoming query into a large number of queries directed to a target.
  • CVE-2020-12663 Malformed answers from upstream name servers can be used to make Unbound unresponsive.

Versienummer 1.10.1
Releasestatus Final
Besturingssystemen Linux, BSD, macOS, Windows Server 2012, Windows Server 2016
Website NLnet Labs
Download https://nlnetlabs.nl/projects/unbound/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

20-05-2020 • 16:47

19 Linkedin

Submitter: jpgview

Bron: NLnet Labs

Update-historie

Reacties (19)

Wijzig sortering
Het is niet alleen unbound die lek is.
het zijn bijna alle recursors die er uit zijn.
Hieronder ook een linkje er naar toe: http://www.nxnsattack.com/
Kan iemand mij vertellen welke tool in de screenshot word gebruikt?
Ah, OK. Grafana ken ik wel (kinda) maar niet met unbound. Toch thuis maar eens opzetten dan.

Cc: @Solopher
Ja, dit is Grafana (open source, Apache 2.0 licentie) zie website: https://grafana.com/grafana/.
Hm, pfSense gebruikt ook Unbound, vraag me af of ze die dan ook gaan patchen
Het sowieso nooit aangeraden om unbound open te stellen vanaf buiten
Kan je uitleggen wat dit met elkaar te maken heeft?
Ik draai ook Unbound via Opnsense maar heb niets open gezet naar het directe internet oid.
Een recursing DNS-server doet- op verzoek van het interne netwerk - DNS verzoeken naar de DNS Provider naar keuze.

Je kan hiermee dus zorgen dat je interne netwerk 1 DNS-server heeft waar hij zijn verzoeken naar kan brengen. Unbound cached en handelt dit verzoek dan af.

Als je unbound hangt aan het internet - en elk DNS verzoek kan dus uitkomen bij jouw unbound - dan ben je gevoelig voor reflection-attacks of bovengenoemde CVE's.

Dus: geen ports forwarden naar je DNS-server, en je firewall wil je zo kaal mogelijk hebben :)
Bedankt voor de uitleg! Dan zit het hier wel snor :)
ik las op tweakers, toen het topic van de laatste release (2.4.5) te voorschijn kwam, dat netgate eigelijk niet zo heel veel interesse meer heeft in pfsense. Er werd aangegeven dat netgate nu vooral zijn resources (en marketing) inzet voor de ontwikkeling en promotie van TNSR. Je merkt dat ook op de pfsense admin page, de RSS feed. Ik las ooit op het forum, dat 'between release patches' daar altijd aangekondigd worden, maar het laatste jaar zie ik daar uitsluitend reklame.

De CVEs lijken best wel ernstig, er zullen de komende dagen weer rare dingen te zien zijn op de firewall. Wat ik me vooral afvraag, zullen packages zoals suricata of snort (ik gebruik suricata in IPS mode) snel geupdate worden met rules om dit te detecteren / voorkomen? Ik zie nu al regelmatig alerts, die aangeven dat de DNS service een target is, dit zal in de nabije toekomst dus waarschijnlijk erger worden...
Unbound heeft twee CVE’s gefixt, maar zijn er nog meer open (die bekend zijn)?

Als ik een sudo apt install van unbound uitvoer krijg ik de melding dat ik al de laatste versie heb draaien, t.w. 1.9.0-2+deb1. Klopt dat? Lijkt me namelijk sterk. Of is dat een aparte versie of zo?
Je legt hiermee de vinger op het grote pijnpunt van distro's. Zelf gebruik ik Raspbian, een Debian distributie voor een Raspberry Pi. Oorspronkelijk gebruikte ik ook de repository van Raspbian om unbound te instaleren. Helaas lopen die distro's altijd achter. Voor veel packages (dingen die niet met de buitenwereld verbonden zijn) is dat meestal geen probleem, soms vervelend, omdat je een nieuwe feature nodig hebt, die in de versie in de distro nog niet beschikbaar is.
Voor packages die met de buitenwereld communiceren is dat echter meer dan vervelend (lees gevaarlijk)
Ik ben dan ook vrij snel overgeschakeld naar 'compile from source', voor die packages. het is meer werk, toegegeven, maar wel zo veilig, ik draai unbound 1.10.1 sind gisteren 22h00.
Een aanzet, om zelf unbound te compileren vind je hier (het is een oude post, versie aanpassen!!!) Let wel, je hebt de nodige kennis nodig om een en ander aan de praat te krijgen.
Als je unbound al geinstaleerd had vanuit de repository van de distro, moet je die eerst vewijderen, ook alle troep die achter blijft, na de uninstall. De content van /etc/unbound kan je behouden, er zijn wel aanpassingen nodig, de compiled versie draait met chroot, d.w.z dat unbound /etc/unbound als root gebruikt (vb. /etc/unbound/root.hints op het filesystem, /root.hints in de config)

Zijn er nog meer bekend? Unbound heeft vrij recent een security audit ondergaan. Alle problemen die toen gevonden warden, waren opgelost in v1.9.6.
Ik had unbound ook gecompileerd vanuit source. Maar na een denkfout had ik een niet werkende pi-hole op ubuntu weggegooid (lees: nieuwe vm). En toen had ik ff geen zin om alles weer opnieuw te doen. Ik hoopte dat er inmiddels wel een ppa was met de laatste versie, maar die kon ik niet vinden.
Sommige distro's lopen achter met nieuwere features maar brengen normaal wel nog security patches via hun repo's uit. Redhat (en CentOS) bijvoorbeeld lopen dikwijls achter met bepaalde software (PHP vb) maar brengen dan wel security patches uit.
Ook Debian en aanverwanten backporten security patches naar de software die zij via hun repos aanbieden. Ik ben het dan ook totaal niet eens met de bewering van @jpgview dat het gebruik van software uit de repo van je distributie gevaarlijk is als deze software met het grote boze internet communiceert. Over het algemeen zijn de grote jongens zoals RedHat/CentOS/Fedora en Debian/Ubuntu zeer snel met het uitbrengen van backported security updates voor hun packages. Maximaal enkele dagen, in sommige gevallen is het zelfs in uren te tellen.

[Reactie gewijzigd door rbr320 op 22 mei 2020 00:32]

Je hebt helemaal gelijk. Zojuist zag ik dat er een security-update is van de distro die ik gebruik: unbound (1.9.0-2+deb10u2) [security].
Ik ben pas een paar maanden met Raspberry Pi's bezig, dus ik waag me nog niet aan het zelf compileren. Voor mij is het dus afwachten tot een update van 'mijn' distro.
Kijk eens naar OPNsense ipv. pfSense, die updaten alles heel snel, soms meerdere keren per maand als daar een noodzaak voor is.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True