2017-2169: PowerDNS Recursor: Mehrere Schwachstellen ermöglichen u.a. die Änderung der Konfiguration des Recursors
Historie:
- Version 1 (2017-12-04 18:45)
- Neues Advisory
- Version 2 (2017-12-06 11:11)
- Für openSUSE Leap 42.2 und 42.3 stehen Backport-Sicherheitsupdates für 'pdns-recursor' bereit, mit denen die Schwachstellen behoben werden.
Betroffene Software
Server
Betroffene Plattformen
Linux
Beschreibung:
Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer die Änderung von Zonen- und Zugangskontrollkonfigurationen im PowerDNS Recursor. Mehrere weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Darstellung falscher Informationen, einen Cross-Site-Scripting- sowie einen Denial-of-Service-Angriff.
Der Hersteller stellt PowerDNS Recursor 4.0.7 als Sicherheitsupdate bereit. Für die einzelnen Schwachstellen stehen zusätzlich Patches zur Verfügung. Die Schwachstellen betreffen den Versionszweig 4.x von PowerDNS Recursor bis inklusive 4.0.6, die schwerwiegende Schwachstelle CVE-2017-15093 betrifft auch den Versionszweig 3.x bis inklusive Version 3.7.4.
Für Fedora 25, 26 und 27 stehen Sicherheitsupdates auf die aktuelle Version 4.0.7 im Status 'testing' bereit.
Schwachstellen:
CVE-2017-15090
Schwachstelle in PowerDNS Recursor ermöglicht Darstellung falscher InformationenCVE-2017-15092
Schwachstelle in PowerDNS Recursor ermöglicht Cross-Site-Scripting-AngriffCVE-2017-15093
Schwachstelle in PowerDNS Recursor ermöglicht PrivilegieneskalationCVE-2017-15094
Schwachstelle in PowerDNS Recursor ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.