The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в PowerDNS Authoritative Server

30.09.2020 10:09

Доступны обновления авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.3.1, 4.2.3 и 4.1.14, в которых устранены четыре уязвимости, две из которых потенциально могут привести к удалённому выполнению кода атакующего.

Уязвимости CVE-2020-24696, CVE-2020-24697 и CVE-2020-24698 затрагивают код с реализацией механизма обмена ключами GSS-TSIG. Уязвимости проявляются только при сборке PowerDNS c поддержкой GSS-TSIG ("--enable-experimental-gss-tsig", по умолчанию не используется) и могут быть эксплуатированы через отправку специально оформленного сетевого пакета. Уязвимости CVE-2020-24696 и CVE-2020-24698, вызванные состоянием гонки и двойным освобождением памяти (double-free), могут привести к краху или выполнению кода атакующего при обработке запросов с некорректно оформленными подписями GSS-TSIG. Уязвимость CVE-2020-24697 ограничивается отказом в обслуживании. Так как код GSS-TSIG не использовался по умолчанию, в том числе в пакетах дистрибутивов, и потенциально содержит другие проблемы его решено полностью удалить в выпуске PowerDNS Authoritative 4.4.0.

CVE-2020-17482 может привести к утечке информации из неинициализированной памяти процесса, но проявляется только при обработке запросов от аутентифицированных пользователей, имеющих возможность добавлять новые записи в обслуживаемые сервером DNS-зоны.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Выпуск PowerDNS Authoritative Server 4.3
  3. OpenNews: Атака NXNSAttack, затрагивающая все DNS-резолверы
  4. OpenNews: Удалённо эксплуатируемая уязвимость в библиотеке GNU adns
  5. OpenNews: Почти половина трафика на корневые DNS-серверы вызвана активностью Chromium
  6. OpenNews: Уязвимость в DNS-сервере Unbound, допускающее удалённое выполнение кода
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53806-powerdns
Ключевые слова: powerdns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Иваня (?), 10:41, 30/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Я бы переписал на Rust!
     
     
  • 2.2, Аноним (2), 10:44, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Дико плюсую
     
     
  • 3.15, Аноним (15), 16:50, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Типа от твоих диких плюсов что-то измениться. Как не могли они так и не смогут. Увы, это реальность и на то есть объективные причины.
     
  • 2.5, de (??), 11:05, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Так кто мешает то?
     
     
  • 3.6, Иваня (?), 11:06, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Пока времени столько нет. Надо же изучить как и что там есть.
     
     
  • 4.7, Аноним (7), 11:43, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обратись к Fracta1L, поможет ;)
     
     
  • 5.14, Аноним (15), 16:49, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О да. А за архитектурой надо к iPony. Он выкинит всё и создаст новый модный и мододёжный. Но вот доделать они никогда не смогут. Обожрутся бургерами, попробуют запить смузи и захлебнуться.
     
  • 4.17, Аноним (15), 16:51, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, это не json'ку смузи запивать.
     
     
  • 5.18, Анон123 (?), 18:43, 01/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    * смузями, конечно же.
     
  • 4.20, Аноним (20), 13:05, 02/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В этом и суть проблемы: те, кто знают проблемную область и имеют опыт реальной промышленной разработки выбирают С/С++
    Те кто знает свой любимый Rust, go и прочее и мечтают переписать весь системный софт на них, думая что язык решит все проблемы и не создаст новых, этого опыта почему-то не имеют..
     
  • 3.13, Аноним (15), 16:46, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Никто а что. Отсутвие знаний. DNS сервер писать это не json по rest api гонять.
     
  • 2.8, ryoken (ok), 11:57, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Задрали вы с вашей рубигалией на каждый чих.
     
  • 2.10, Денис (??), 12:39, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Rust мне дико крови попортил. Я его невзлюбил.
     
  • 2.12, Аноним (15), 16:45, 30/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет, не переписал бы.
     
  • 2.21, microsoft (?), 20:40, 02/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так перепиши, гений... заодно и раст перепиши пару раз
     
     
  • 3.23, Иваня (?), 05:36, 03/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И перепишу, ПЕРЕПИШУ! Не указывай, что мне сейчас делать!
     
     
  • 4.24, Michael Shigorin (ok), 12:28, 03/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И перепишу, ПЕРЕПИШУ! Не указывай, что мне сейчас делать!

    Попрошу, не указывая, лишь об одном: как перепишете -- скиньте и сюда весточку.

     

  • 1.9, Аноним (9), 12:00, 30/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Прикольно у них сделано уведомление об обновлении.
    # host -t txt auth-4.3.0.security-status.secpoll.powerdns.com
    auth-4.3.0.security-status.secpoll.powerdns.com descriptive text "3 Upgrade now, see https://doc.powerdns.com/authoritative/security-advisories/powerdns-advisory-2

    Сервер время от времени запрашивает "свою" DNS-запись, и если там нужно обновиться — пишет об этом в лог и выводит параметр в мониторинг (так-то у нас еще на прошлой неделе алерты по 4.3.0 загорелись, тогда же и обновились).

    Ну и отдельное спасибо разработчикам, что поддерживают свои репы с актуальными версиями для основных дистров https://repo.powerdns.com/
    Так что не надо ждать, пока мейнтейнеры дистра проснутся.

     
  • 1.11, Michael Shigorin (ok), 15:07, 30/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Посмотрел http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=powerdns -- много про рекурсор и прочее cpanel, но всё-таки достаточно неприятно как для power, а не pwned...
     
     
  • 2.19, Анон123 (?), 18:53, 01/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ПаверДНС приятный сервис, но со своими тараканами: это дыры, это скорость устранения недостатков и багов (устраняют быстро, особенно, если с ними скооперироваться и предоставить максимум того, что они запросят, а вот релизят в виде выпусков - не очень). Ну и конечно, в виду того, что это всё функциональщина, многие corner-case-ы там обрабатываются "нетрадиционно", так как не вписываются в мат-модель.

    Там ещё регулярно всплывают нюансы с кэшом - "застрявшие" entry, которые ничем кроме релоада всей зоны, а иногда и рестарта сервера не прочистишь. Да и инвалидация местами работает "странно".

    Но по количеству бэкэндов - прям огонь. То есть для интеграций со вскими биллингами и прочими системами - это прям няшечка: и тебе мыс и тебе посгря и скулайт со лдапом, а хочешь - так и вообще луашня. И поверх всего этого кэш. И даже проксировать эта вся конструкция умеет, в другие dns-ы.

    Если бы не эти "капельки дёгтя" - это была бы волшебная и очень вкусная бочка мёда.

     
     
  • 3.25, Michael Shigorin (ok), 12:31, 03/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за обзор по опыту, заархивировал себе на всякий.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру