PowerDNS Recursor 4.8.6、4.9.3、5.0.2をリリースしました。
これらのリリースは、PowerDNS セキュリティ アドバイザリ 2024-01 に対する修正版です。ゾーン内の DNSSEC レコードがRecursor でのサービス拒否につながる問題がありました。
PowerDNSセキュリティアドバイザリ2024-01:ゾーン内のDNSSECレコードがRecursorのサービス拒否につながる可能性
- CVE: CVE-2023-50387 および CVE-2023-50868
- 日付:2024年2月13日
- 影響 PowerDNS Recursor 4.8.5、9.2、5.0.1 まで。
- 影響なし PowerDNS Recursor 4.8.6、9.3および5.0.2
- 深刻度:高
- 影響 サービス拒否
- 悪用 この問題は、攻撃者が操作したゾーンを公開することによって引き起こされる可能性がある。
- システム侵害のリスク:なし
- 解決策 パッチを適用したバージョンにアップグレードするか、DNSSEC検証を無効にする
攻撃者は操作したDNSSEC関連レコードを含むゾーンを公開することによって、RecursorがRFCで規定されたアルゴリズムを使用してそのゾーンへの問い合わせ結果を検証している間に、Recursorのリソース使用量が非常に多くなり、他の問い合わせの処理に影響を与え、サービス拒否に至る可能性があります。RFCに従うどのリゾルバも影響を受ける可能性があり、これは特定の実装の問題ではないことにご注意ください。
CVSSスコア: 7.5、 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H&version=3.1 を参照ください。
対応策は次のいずれかです。
- パッチ適用済みのバージョンにアップグレードする
- dnssec=off または process-no-validate を設定して DNSSEC 検証を無効にします。 YAML 設定を使用する場合: dnssec.validate: off または process-no-validateにしてください。 これは、DNSSEC 検証に応じてクライアントに影響することに注意してください。
CVE-2023-50387 を DNS コミュニティに知らせてくれたドイツ国立応用サイバーセキュリティ研究センター ATHENE のElias Heftrig 氏、Haya Schulmann 氏、Niklas Vogel 氏、Michael Waidner 氏、特に検証にご協力いただいた Niklas Vogel氏に感謝いたします。 パッチ。 また、CVE-2023-50868 を発見し、責任を持って開示してくださった ISC の Petr Špaček 氏にも感謝いたします。
脆弱性と調整プロセスについて詳しく知りたい場合は、ISC のブログ投稿「BIND 9 セキュリティ・リリースとマルチベンダー脆弱性の処理」を参照してください。
詳細については、変更ログ (4.8.6 、4.9.3 、および 5.0.2 ) およびアップグレード ガイドを参照してください。 アップグレード ガイドでは、zoneToCache 関数に関連する 1 つの既知の問題について説明しています。
ソースコード(4.8.6 , 4.9.3 , 5.0.2 ) (署名ファイル 4.8.6 , 4.9.3, 5.0.2 )は、ダウンロードサーバからダウンロードできます。いくつかのLinuxディストリビューション用のパッケージは、PowerDNSリポジトリ からダウンロード可能です。
ご意見・ご感想はメーリングリスト、バグの場合はGitHubまでお寄せください。
バグや課題の報告、機能のリクエスト、プログラムの修正、機能実装を行ってくれたPowerDNSコミュニティのメンバーに感謝します。
執筆者:Otto Moerbeek
Senior Developer at PowerDNS