OX Blog

PowerDNS Recursor セキュリティアドバイザリ 2024-01

作成者: OX Dovecot|3 18, 2024

PowerDNS Recursor 4.8.6、4.9.35.0.2をリリースしました。

これらのリリースは、PowerDNS セキュリティ アドバイザリ 2024-01 に対する修正版です。ゾーン内の DNSSEC レコードがRecursor でのサービス拒否につながる問題がありました。

PowerDNSセキュリティアドバイザリ2024-01:ゾーン内のDNSSECレコードがRecursorのサービス拒否につながる可能性

  • CVE: CVE-2023-50387 および CVE-2023-50868
  • 日付:2024213
  • 影響 PowerDNS Recursor 4.8.59.25.0.1 まで。
  • 影響なし PowerDNS Recursor 4.8.69.3および5.0.2
  • 深刻度:高
  • 影響 サービス拒否
  • 悪用 この問題は、攻撃者が操作したゾーンを公開することによって引き起こされる可能性がある。
  • システム侵害のリスク:なし
  • 解決策 パッチを適用したバージョンにアップグレードするか、DNSSEC検証を無効にする

攻撃者は操作したDNSSEC関連レコードを含むゾーンを公開することによって、RecursorRFCで規定されたアルゴリズムを使用してそのゾーンへの問い合わせ結果を検証している間に、Recursorのリソース使用量が非常に多くなり、他の問い合わせの処理に影響を与え、サービス拒否に至る可能性があります。RFCに従うどのリゾルバも影響を受ける可能性があり、これは特定の実装の問題ではないことにご注意ください。

CVSSスコア: 7.5 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H&version=3.1 を参照ください。

対応策は次のいずれかです。

  • パッチ適用済みのバージョンにアップグレードする
  • dnssec=off または process-no-validate を設定して DNSSEC 検証を無効にします。 YAML 設定を使用する場合: dnssec.validate: off または process-no-validateにしてください。 これは、DNSSEC 検証に応じてクライアントに影響することに注意してください。

CVE-2023-50387 を DNS コミュニティに知らせてくれたドイツ国立応用サイバーセキュリティ研究センター ATHENE Elias Heftrig 氏、Haya Schulmann 氏、Niklas Vogel 氏、Michael Waidner 氏、特に検証にご協力いただいた Niklas Vogel氏に感謝いたします。 パッチ。 また、CVE-2023-50868 を発見し、責任を持って開示してくださった ISC Petr Špaček 氏にも感謝いたします。

脆弱性と調整プロセスについて詳しく知りたい場合は、ISC のブログ投稿「BIND 9 セキュリティ・リリースとマルチベンダー脆弱性の処理」を参照してください。

詳細については、変更ログ (4.8.6  4.9.3 、および 5.0.2 ) およびアップグレード ガイドを参照してください。 アップグレード ガイドでは、zoneToCache 関数に関連する 1 つの既知の問題について説明しています。

ソースコード(4.8.6 , 4.9.3 , 5.0.2 ) (署名ファイル 4.8.6 , 4.9.3, 5.0.2 )は、ダウンロードサーバからダウンロードできます。いくつかのLinuxディストリビューション用のパッケージは、PowerDNSリポジトリ からダウンロード可能です。

ご意見・ご感想はメーリングリスト、バグの場合はGitHubまでお寄せください。

バグや課題の報告、機能のリクエスト、プログラムの修正、機能実装を行ってくれたPowerDNSコミュニティのメンバーに感謝します。

 

執筆者:Otto Moerbeek

Senior Developer at PowerDNS