PowerDNS Recursor 4.8.6、4.9.3、5.0.2をリリースしました。
これらのリリースは、PowerDNS セキュリティ アドバイザリ 2024-01 に対する修正版です。ゾーン内の DNSSEC レコードがRecursor でのサービス拒否につながる問題がありました。
PowerDNSセキュリティアドバイザリ2024-01:ゾーン内のDNSSECレコードがRecursorのサービス拒否につながる可能性
攻撃者は操作したDNSSEC関連レコードを含むゾーンを公開することによって、RecursorがRFCで規定されたアルゴリズムを使用してそのゾーンへの問い合わせ結果を検証している間に、Recursorのリソース使用量が非常に多くなり、他の問い合わせの処理に影響を与え、サービス拒否に至る可能性があります。RFCに従うどのリゾルバも影響を受ける可能性があり、これは特定の実装の問題ではないことにご注意ください。
CVSSスコア: 7.5、 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H&version=3.1 を参照ください。
対応策は次のいずれかです。
CVE-2023-50387 を DNS コミュニティに知らせてくれたドイツ国立応用サイバーセキュリティ研究センター ATHENE のElias Heftrig 氏、Haya Schulmann 氏、Niklas Vogel 氏、Michael Waidner 氏、特に検証にご協力いただいた Niklas Vogel氏に感謝いたします。 パッチ。 また、CVE-2023-50868 を発見し、責任を持って開示してくださった ISC の Petr Špaček 氏にも感謝いたします。
脆弱性と調整プロセスについて詳しく知りたい場合は、ISC のブログ投稿「BIND 9 セキュリティ・リリースとマルチベンダー脆弱性の処理」を参照してください。
詳細については、変更ログ (4.8.6 、4.9.3 、および 5.0.2 ) およびアップグレード ガイドを参照してください。 アップグレード ガイドでは、zoneToCache 関数に関連する 1 つの既知の問題について説明しています。
ソースコード(4.8.6 , 4.9.3 , 5.0.2 ) (署名ファイル 4.8.6 , 4.9.3, 5.0.2 )は、ダウンロードサーバからダウンロードできます。いくつかのLinuxディストリビューション用のパッケージは、PowerDNSリポジトリ からダウンロード可能です。
ご意見・ご感想はメーリングリスト、バグの場合はGitHubまでお寄せください。
バグや課題の報告、機能のリクエスト、プログラムの修正、機能実装を行ってくれたPowerDNSコミュニティのメンバーに感謝します。
執筆者:Otto Moerbeek
Senior Developer at PowerDNS