Sauf erreur de ma part, c’est le vecteur d’attaque de ce CVE: réponse TCP à une requête envoyée par la libresolv, dans le but de provoquer un buffer overflow. J’imagine que c’est un faux positif. C’est peut-être d’ailleurs à chaque fois le même resolv qui renvoie ça.
David > Le 5 mai 2025 à 01:07, Thomas Brenac via frnog <[email protected]> a écrit : > > les log ne disent pas mais dans tous les cas bizarre que cela provienne du > serveur DNS en lui meme (ou du moins de son IP). apres c’est 1 sur 200k > requetes en log > > > _______________ > Thomas BRENAC > +33686263575 > > >> On 5 May 2025, at 00:35, Alarig Le Lay via frnog <[email protected]> wrote: >> >> On Sun 04 May 2025 23:23:45 GMT, Thomas Brenac via frnog wrote: >>> "PS Alert 1: Attempted User Privilege Gain. Signature ET EXPLOIT >>> Possible CVE-2015-7547 Large Response to A/AAAA query. From: >>> 80.67.169.12:53, to: 192.168.0.90:53056, protocol: TCP: “ avec un >>> adresse MAC source 94:2a:6f:f2:33:95 (un truc de chez TP-link) >> >> C’est une requête sur quel domaine ? >> >> -- >> Alarig >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
