漏洞信息(CVE-2020-25682)

一、漏洞 CVE-2020-25682 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在2.83之前，dnsmasq发现了一个漏洞。在dnsmasq使用从DNS packets中提取名称之前，通过使用DNSSEC数据验证它们的方式，发现了缓冲区溢出漏洞。在网络中攻击者，能够创建合法DNS响应，可以利用此漏洞在堆内存分配的内存中以任意数据溢出，可能执行机器上的代码。漏洞存在于 RFC1035.c:extract_name()函数中，该函数假定缓冲区中 MAXDNAME*2 字节可用，将数据写入由名称指向的内存。然而，在某些代码执行路径中，可能从基缓冲区传递一个偏移量，从而降低实际可写入的缓冲区字节数。此漏洞对数据保密性和完整性以及系统可用性的最大威胁。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw was found in dnsmasq before 2.83. A buffer overflow vulnerability was discovered in the way dnsmasq extract names from DNS packets before validating them with DNSSEC data. An attacker on the network, who can create valid DNS replies, could use this flaw to cause an overflow with arbitrary data in a heap-allocated memory, possibly executing code on the machine. The flaw is in the rfc1035.c:extract_name() function, which writes data to the memory pointed by name assuming MAXDNAME*2 bytes are available in the buffer. However, in some code execution paths, it is possible extract_name() gets passed an offset from the base buffer, thus reducing, in practice, the number of available bytes that can be written in the buffer. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

堆缓冲区溢出

来源：美国国家漏洞数据库 NVD

漏洞标题

Dnsmasq 缓冲区错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Dnsmasq是一款使用C语言编写的轻量级DNS转发和DHCP、TFTP服务器。 Dnsmasq 存在缓冲区错误漏洞，该漏洞源于在用DNSSEC数据验证DNS包之前，dnsmasq从DNS包中提取名称的方式存在缓冲区溢出漏洞。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

缓冲区错误

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2020-25682 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2020-25682 的情报信息

https://www.jsof-tech.com/disclosures/dnspooq/ x_refsource_MISC
https://bugzilla.redhat.com/show_bug.cgi?id=1882014 x_refsource_MISC
https://www.debian.org/security/2021/dsa-4844 vendor-advisory x_refsource_DEBIAN
https://security.gentoo.org/glsa/202101-17 vendor-advisory x_refsource_GENTOO
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WYW3IR6APUSKOYKL5FT3ACTIHWHGQY32/ vendor-advisory x_refsource_FEDORA
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QGB7HL3OWHTLEPSMLDGOMXQKG3KM2QME/ vendor-advisory x_refsource_FEDORA
https://lists.debian.org/debian-lts-announce/2021/03/msg00027.html mailing-list x_refsource_MLIST
https://nvd.nist.gov/vuln/detail/CVE-2020-25682

一、 漏洞 CVE-2020-25682 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2020-25682 的公开POC

三、漏洞 CVE-2020-25682 的情报信息

一、漏洞 CVE-2020-25682 基础信息