北京时间2025.2.26上午,T站有则关于寡妇王DNS污染机制存在内存信息泄露的消息,一个被披露者命名为Wallbleed的安全漏洞。
https://.../gfw_report/status/1894559031131336872
(这应该是一个不存在的网站)
大意是,GFW DNS污染系统,解析DNS请求报文时不够严谨,犯了历史上DNS协议解析所犯过的错误;最终效果是,伪造DNS响应报文时,将当前进程空间中与DNS请求无关的部分内存信息错误地复制到响应报文中,发送回DNS请求方。披露者提供了英中两版技术报告,业内同行应该已围观过。
DNS协议解析的各种幺蛾子,确实是个历史大坑,从上个世纪末到现在,但凡自己重新造轮子来解析DNS报文者,不跳坑是很难的,但确实没想到封闭的GFW也难逃此劫。这些技术细节就不多说了,只是有些感慨。
报告中有段内容值得复述:
Following best practices for Internet scanning, we limited the traffic volume to each host not under our control to only one UDP packet per 15 minutes. We hosted a web page at the source IP address of our scans, displaying a project description and explaining how to opt out of scanning. We received and honored one opt-out request in the course of the study.
中文大意是:
遵循互联网扫描的最佳实践,对每个非我们所有的目标IP,将流量限制为每15分钟对之发送一个UDP报文。同时,我们在UDP报文源IP上布署了一个网页,描述本项目,并解释如何避免被扫描到。在研究过程中,我们收到并响应了一个避免扫描的请求。
披露者对该漏洞进行了两年多的监测、分析,进行黑盒式逆向工程,可以说,很有耐心。报告中写道,GFW在2023年11月对Wallbleed进行了一次不完备的修补,2024年3月彻底修复漏洞。也就是说,时至今日,GFW没有前述报告所述Wallbleed漏洞,补了。
按披露者自己的说法是,他们监测、分析得差不多了,还考虑了各种伦理问题,这个那个的,综合评估后决定向GFW负责任地披露此漏洞;但是,他们尚未来得及向GFW披露,后者自己发现并修复了漏洞,使得他们的披露决定变得毫无意义。这段看英文版,表达得更清晰。
关于他们所说的伦理考量,若是真的,个人觉得没啥大问题。但是,读完全篇报告,个人不大相信他们那个说辞,什么就决定披露,恰在此时被补了,一种哄鬼的感觉扑面而来。我倾向于,他们本来打算一直监测下去,漏洞被补之前并未打算披露,发现漏洞被补之后临时给自己贴金,来这么一套既要又要的说辞。当然,这只是个人扯淡,观之一笑而过便罢。
原文始发于微信公众号(青衣十三楼飞花堂):某DNS污染机制存在内存信息泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论