Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe protéger mes données et mon accès internet

vulnérabilité CVE-2017-14491

roumi34
contributeur occasionnel
11 802  

vulnérabilité CVE-2017-14491

Bonjour,

Les liens suivants traitenr de ce sujet sensible

 

1- https://nvd.nist.gov/vuln/detail/CVE-2017-14491
2- https://www.cyberveille-sante.gouv.fr/cyberveille/224-plusieurs-vulnerabilites-critiques-dans-dnsmas...
3- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14491

 La vulnérabilité nommée "CVE-2017-14491", n'est pas une "FAUSSE" anomalie détectée par les antivirus, mais une vulnérabilité des Routeurs ! La version du "dnsmasq", n'est pas à jour, la version doit être (2.78) et plus.

Cette vulnérabilité, ne peut être corrigée que par les FAI. Ce sont leurs responsabilités

Ma version dnsmasq est 2.55, donc incorrecte et mon antivirus détecte cette vulnérabilité sur ma livebox.

Une recherche sur le net m'informe que ce problème existe depuis 2017, que de nombreux utilisateurs l'ont fait remonter à leur FAI qui ne s'en émeut guère.

Pourrie-vous, s'il vous plait faire une mise à jour des livebox intégrant une version 2.78 ou plus du dnsmasq ?

Merci

 

23 RÉPONSES 23
Ancien Membre
11 681  

Re: vulnérabilité CVE-2017-14491

Bonjour,

 

Ce sujet a déjà été évoqué avec les mêmes liens sans solution apportée.

https://communaute.orange.fr/t5/ma-connexion/CVE-2017-14491/m-p/1548147

 

Je suis circonspecte sur le sujet, et je pense que c'est une fausse alerte.

seedz
contributeur occasionnel
11 584  

Re: vulnérabilité CVE-2017-14491

Ce n'est pas une fausse alerte.

 

C'est une réelle vulnérabilité découverte par Google il y a maintenant 1 an ! (sic)

Cette faille est enregistrée dans le registre des failles internet par le gouvernement US depuis mars 2017.

Elle a été jugée Critique :
https://nvd.nist.gov/vuln/detail/CVE-2017-14491

 

DNSmasq est un logiciel open source donnant les services DNS et DHCP à un équipement.

DNSmasq est intégré à de nombreux serveurs de part le monde, ainsi qu'à des routeurs, comme les livebox.
apparté : les Livebox sont au final de petits serveurs tournant sous Linux.
https://fr.wikipedia.org/wiki/Livebox#Livebox_3_(Play)

 

DNSmasq étant intégré à nos crapbox livebox, il est de la responsabilité d'Orange de les mettre à jour avec la bonne version de DNSmasq.
Personnellement, si je laissais une faille de sécurité comme celle là trainer aussi longtemps, je serais viré de mon poste :>

 

En attendant, je déploie mon propre serveur DNS/DHCP sous linux + DNSmasq, en faisant d'une pierre deux coups pour gérer mon domaine en local, chose que les trashbox livebox ne permettent pas du tout.

Ancien Membre
11 563  

Re: vulnérabilité CVE-2017-14491

Hello,

Je demeure très sceptique, comme je l'ai indiqué.

didenhofen
contributeur
10 808  

Re: vulnérabilité CVE-2017-14491

Il suffit de faire des recherches sur internet pour voir que c'est une faille qui permet de faire des DoS.

Alors ne soyez plus sceptique !

Ancien Membre
10 771  

Re: vulnérabilité CVE-2017-14491

Bonjour,

 

Tout n'est pas vrai sur Internet. Le déni de ces DoS est permis.

billobill
contributeur
10 559  

Re: vulnérabilité CVE-2017-14491


@roumi34@  a écrit :

Bonjour,

Les liens suivants traitenr de ce sujet sensible

 

1- https://nvd.nist.gov/vuln/detail/CVE-2017-14491
2- https://www.cyberveille-sante.gouv.fr/cyberveille/224-plusieurs-vulnerabilites-critiques-dans-dnsmas...
3- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14491

 La vulnérabilité nommée "CVE-2017-14491", n'est pas une "FAUSSE" anomalie détectée par les antivirus, mais une vulnérabilité des Routeurs ! La version du "dnsmasq", n'est pas à jour, la version doit être (2.78) et plus.

Cette vulnérabilité, ne peut être corrigée que par les FAI. Ce sont leurs responsabilités

Ma version dnsmasq est 2.55, donc incorrecte et mon antivirus détecte cette vulnérabilité sur ma livebox.

Une recherche sur le net m'informe que ce problème existe depuis 2017, que de nombreux utilisateurs l'ont fait remonter à leur FAI qui ne s'en émeut guère.

Pourrie-vous, s'il vous plait faire une mise à jour des livebox intégrant une version 2.78 ou plus du dnsmasq ?

Merci

 


 

PhilDur
#TopMembre
#TopMembre
10 546  

HOAX : vulnérabilité CVE-2017-14491

Bonjour

 

Il faut arrêter la psychose.

 

Nulle part le lien n'est fait entre le message d'alerte qui prour l'instant ressemble à un message crétin et le comportement des Livebox.

 

Un anti-virus balance un message d'alerte parce qu'il n'aime pas qu'une box fasse relais DNS.

Parce que le PC dans lequel s'exécute l'outil de détection ne possède qu'une seule adresse DNS, ou tout simplement parce qu'il s'agit d'une Livebox.

Personne sur les sites utilisés comme référence, n'a écrit en clair : la Livebox du modèle X ou Y comporte une faille de sécurité.

Au passage la vulnérabilité évoquée est signalée comme résolue.

Orange_001_28052018_102215.jpg

 

 

Cette campagne est pour l'instant un hoax

 

Elle en a déjà deux des aspects :

  • elle promet la pire des catstrophes que la terre ait jamais vuse (moi aussi je sais en rajouter)
  • elle tente de trouver des cautions qui font autorité, elle oublie juste de dire que le problème est résolu.

 

Il ne manque plus que  le classique "diffusez ce message à tous vos contact" !

 

Cette campagne, non fondée, est un Hoax !

 

 

PhilDur

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
Ancien Membre
10 542  

Re: vulnérabilité CVE-2017-14491

Hello

 

+1 @PhilDur

J'en ai parlé à des experts en sécurité, ils ont doucement rigolé.

DomDommy
contributeur occasionnel
8 589  

Re: vulnérabilité CVE-2017-14491

Donc pour conclure , il ne faut pas apporter trop d'importance au fait qu'il y'est une alerte sur le port 53 ..?? j'ai pourtant bien envie de changer de matériel ...

 

wi fi inspector POrt.PNG

Vous avez une question ?

Interrogez la communauté

Déjà 752944 membres inscrits 🧡

4660 personnes actuellement en ligne

Tous les membres en ligne