2017-2174: PowerDNS Authoritative Server: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-12-04 18:52)

Neues Advisory

Version 2 (2017-12-06 11:17)

Für openSUSE Leap 42.2 und 42.3 werden Sicherheitsupdates für 'pdns' zur Behebung der Schwachstelle veröffentlicht.

Version 3 (2018-02-05 10:59)

Für Fedora EPEL 7 steht ein Sicherheitsupdate zur Behebung der Schwachstelle im Status 'testing' bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer mit gültigen Zugangsdaten für die Programmschnittstelle (API) von PowerDNS Authoritative kann eine fehlende Berechtigungsprüfung ausnutzen, um potentiell schädliche API-Operationen durchzuführen, die Einfluss auf den Zustand des Servers haben können (Bewirken eines Denial-of-Service-Zustandes).

Der Hersteller informiert über die Schwachstelle und hat PowerDNS Authoritative 4.0.5 als Sicherheitsupdate zur Verfügung gestellt. Gleichzeitig wurde auch ein Minimalpatch zur Behebung der Schwachstelle veröffentlicht. Die aktuelle Version der Software ist 4.1.0, für Fedora 27 wird die Schwachstelle mit einem Update (im Status 'testing') auf diese Version behoben. Die Schwachstelle besteht in PowerDNS Authoritative bis inklusive Version 4.0.4 und 3.4.11.

Schwachstellen:

CVE-2017-15091

Schwachstelle in PowerDNS Authoritative Server ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.