internet & fixe protéger mes données et mon accès internet

vulnérabilité CVE-2017-14491

roumi34
contributeur occasionnel
10 878  

vulnérabilité CVE-2017-14491

Bonjour,

Les liens suivants traitenr de ce sujet sensible

 

1- https://nvd.nist.gov/vuln/detail/CVE-2017-14491
2- https://www.cyberveille-sante.gouv.fr/cyberveille/224-plusieurs-vulnerabilites-critiques-dans-dnsmas...
3- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14491

 La vulnérabilité nommée "CVE-2017-14491", n'est pas une "FAUSSE" anomalie détectée par les antivirus, mais une vulnérabilité des Routeurs ! La version du "dnsmasq", n'est pas à jour, la version doit être (2.78) et plus.

Cette vulnérabilité, ne peut être corrigée que par les FAI. Ce sont leurs responsabilités

Ma version dnsmasq est 2.55, donc incorrecte et mon antivirus détecte cette vulnérabilité sur ma livebox.

Une recherche sur le net m'informe que ce problème existe depuis 2017, que de nombreux utilisateurs l'ont fait remonter à leur FAI qui ne s'en émeut guère.

Pourrie-vous, s'il vous plait faire une mise à jour des livebox intégrant une version 2.78 ou plus du dnsmasq ?

Merci

 

23 RÉPONSES 23
PatriciaG
super star
10 757  

Re: vulnérabilité CVE-2017-14491

Bonjour,

 

Ce sujet a déjà été évoqué avec les mêmes liens sans solution apportée.

https://communaute.orange.fr/t5/ma-connexion/CVE-2017-14491/m-p/1548147

 

Je suis circonspecte sur le sujet, et je pense que c'est une fausse alerte.

@+ Patricia
seedz
contributeur occasionnel
10 660  

Re: vulnérabilité CVE-2017-14491

Ce n'est pas une fausse alerte.

 

C'est une réelle vulnérabilité découverte par Google il y a maintenant 1 an ! (sic)

Cette faille est enregistrée dans le registre des failles internet par le gouvernement US depuis mars 2017.

Elle a été jugée Critique :
https://nvd.nist.gov/vuln/detail/CVE-2017-14491

 

DNSmasq est un logiciel open source donnant les services DNS et DHCP à un équipement.

DNSmasq est intégré à de nombreux serveurs de part le monde, ainsi qu'à des routeurs, comme les livebox.
apparté : les Livebox sont au final de petits serveurs tournant sous Linux.
https://fr.wikipedia.org/wiki/Livebox#Livebox_3_(Play)

 

DNSmasq étant intégré à nos crapbox livebox, il est de la responsabilité d'Orange de les mettre à jour avec la bonne version de DNSmasq.
Personnellement, si je laissais une faille de sécurité comme celle là trainer aussi longtemps, je serais viré de mon poste :>

 

En attendant, je déploie mon propre serveur DNS/DHCP sous linux + DNSmasq, en faisant d'une pierre deux coups pour gérer mon domaine en local, chose que les trashbox livebox ne permettent pas du tout.

PatriciaG
super star
10 639  

Re: vulnérabilité CVE-2017-14491

Hello,

Je demeure très sceptique, comme je l'ai indiqué.

@+ Patricia
didenhofen
contributeur
9 884  

Re: vulnérabilité CVE-2017-14491

Il suffit de faire des recherches sur internet pour voir que c'est une faille qui permet de faire des DoS.

Alors ne soyez plus sceptique !

PatriciaG
super star
9 847  

Re: vulnérabilité CVE-2017-14491

Bonjour,

 

Tout n'est pas vrai sur Internet. Le déni de ces DoS est permis.

@+ Patricia
billobill
contributeur
9 635  

Re: vulnérabilité CVE-2017-14491


@roumi34@  a écrit :

Bonjour,

Les liens suivants traitenr de ce sujet sensible

 

1- https://nvd.nist.gov/vuln/detail/CVE-2017-14491
2- https://www.cyberveille-sante.gouv.fr/cyberveille/224-plusieurs-vulnerabilites-critiques-dans-dnsmas...
3- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14491

 La vulnérabilité nommée "CVE-2017-14491", n'est pas une "FAUSSE" anomalie détectée par les antivirus, mais une vulnérabilité des Routeurs ! La version du "dnsmasq", n'est pas à jour, la version doit être (2.78) et plus.

Cette vulnérabilité, ne peut être corrigée que par les FAI. Ce sont leurs responsabilités

Ma version dnsmasq est 2.55, donc incorrecte et mon antivirus détecte cette vulnérabilité sur ma livebox.

Une recherche sur le net m'informe que ce problème existe depuis 2017, que de nombreux utilisateurs l'ont fait remonter à leur FAI qui ne s'en émeut guère.

Pourrie-vous, s'il vous plait faire une mise à jour des livebox intégrant une version 2.78 ou plus du dnsmasq ?

Merci

 


 

PhilDur
#TopMembre
9 622  

HOAX : vulnérabilité CVE-2017-14491

Bonjour

 

Il faut arrêter la psychose.

 

Nulle part le lien n'est fait entre le message d'alerte qui prour l'instant ressemble à un message crétin et le comportement des Livebox.

 

Un anti-virus balance un message d'alerte parce qu'il n'aime pas qu'une box fasse relais DNS.

Parce que le PC dans lequel s'exécute l'outil de détection ne possède qu'une seule adresse DNS, ou tout simplement parce qu'il s'agit d'une Livebox.

Personne sur les sites utilisés comme référence, n'a écrit en clair : la Livebox du modèle X ou Y comporte une faille de sécurité.

Au passage la vulnérabilité évoquée est signalée comme résolue.

Orange_001_28052018_102215.jpg

 

 

Cette campagne est pour l'instant un hoax

 

Elle en a déjà deux des aspects :

  • elle promet la pire des catstrophes que la terre ait jamais vuse (moi aussi je sais en rajouter)
  • elle tente de trouver des cautions qui font autorité, elle oublie juste de dire que le problème est résolu.

 

Il ne manque plus que  le classique "diffusez ce message à tous vos contact" !

 

Cette campagne, non fondée, est un Hoax !

 

 

PhilDur

 

Faites confiance aux produits libres : Firefox, Thunderbird, LibreOffice, Irfanview, VLC, 7-zip, FileZilla
Votre machine vous en remerciera
PatriciaG
super star
9 618  

Re: vulnérabilité CVE-2017-14491

Hello

 

+1 @PhilDur

J'en ai parlé à des experts en sécurité, ils ont doucement rigolé.

@+ Patricia
DomDommy
contributeur occasionnel
7 665  

Re: vulnérabilité CVE-2017-14491

Donc pour conclure , il ne faut pas apporter trop d'importance au fait qu'il y'est une alerte sur le port 53 ..?? j'ai pourtant bien envie de changer de matériel ...

 

wi fi inspector POrt.PNG

Recherchez dans la Communauté

Vous avez une question ?

Créer un sujet

Déjà 645872 membres inscrits 🧡

998 personnes actuellement en ligne

Tous les membres en ligne