[lacnog] Para tenerlo en cuenta:

Fernando Gont fgont en si6networks.com
Mar Ene 19 19:44:08 -03 2021 

Hola, Nico,

On 19/1/21 19:22, Nicolas Antoniello wrote:
> Hola Fernando y tod en s,

Prefiero el "todes" :-)


> El mar, 19 de ene. de 2021 a la(s) 18:30, Fernando Gont
> (fernando en gont.com.ar) escribió:
> ...
>> * Los primeros cuatro CVE's (CVE-2020-25681, CVE-2020-25682,
>> CVE-2020-25683, y CVE-2020-25687) aplican cuando los sistemas usan
>> DNSSEC, lo cual indica lo obvio: utilizar codigo mas nuevo, y menos
>> probado, usualmente te expone a ataques.
> 
> Justamente estaba leyendo nuevamente más en detalle. Lo bueno sería
> poder actualizar todo a la versión que se menciona en el documento
> (para los sistemas que usen dnsmasq).

Es que muchos de los sistemas que usan dnsmasq son CPEs que, salvo que 
les estes corriendo openwrt o similares... vas a estar a la buena de Dios.



> Sobre eso, lo interesante es la cantidad de routers domésticos y CPEs
> en general que debe haber y que no creo que sean actualizados al menos
> no en corto o mediano plazo (si es que alguna vez se actualizan).

Exacto. Aunque en la mayoria de los casos, probablemente no esté 
utilizando DNSSEC...




>> * Los ultimos tres CVEs (CVE-2020-25684, CVE-2020-25685,
>> CVE-2020-25686): Cuando una implementacion no aplica mejores prácticas,
>> no hay mucho para decir -- sino, simplemente, usar otra cosa en la
>> medida de lo posible. Dado donde se utiliza tipicamente dnsmasq: "enjoy" :-)
> 
> Sip, justamente lo que mencionaba de la dificultad de actualizar eso
> en un corto o mediano plazo...

Hay muchisimos equipos que no van a hacer actualizados jamas. EL usuario 
promedio no se "mete a la pagia de tp-link a ver si hay alguna version 
de firmware nueva".

Esto trae nuevamente la pregunta de si, a la hora en que uno 
incorpora/despliega/actualiza un nuevo mecanismo de seguridad, con 
codigo que no ha sido testeado exhaustivamente en produccion, lo que 
está haciendo es mejorando la seguridad, en en realidad, potencialmente 
haciendo todo lo opuesto.

Abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG