2018-2264: PowerDNS: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe

Historie:

Version 1 (2018-11-08 15:09)

Neues Advisory

Version 2 (2018-11-12 11:07)

Für Fedora EPEL 7 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem PowerDNS Authoritative auf Version 4.0.6 aktualisiert wird. Mit dem Update wird die Schwachstelle CVE-2018-10851 behoben.

Version 3 (2018-11-13 10:26)

Für Fedora EPEL 7 steht ein neuer Build für das Sicherheitsupdate zur Behebung der Schwachstelle in PowerDNS Authoritative im Status 'testing' bereit. Beim ersten Update konnte es zu Problemen kommen, wenn die Unterpakete 'backend-geo' und 'backend-lmdb' vorhanden waren.

Version 4 (2018-11-14 10:49)

Für Fedora 28 und 29 sowie für Fedora EPEL 7 stehen Sicherheitsupdates für 'pdns-recursor' im Status 'testing' bereit, mit denen die Schwachstellen in PowerDNS Recursor behoben werden. Die Software wird damit auf Version 4.1.7 aktualisiert.

Version 5 (2018-11-30 18:08)

Für Fedora 28 und 29 sowie für Fedora EPEL 7 stehen neue Sicherheitsupdates für 'pdns-recursor' im Status 'testing' bereit, mit denen diese und eine weitere Schwachstelle in PowerDNS Recursor behoben werden. Die Software wird damit auf Version 4.1.8 aktualisiert. Die vorherigen Sicherheitsupdates wurden in den Status 'obsolete' versetzt und die Referenzen darum hier entfernt.

Version 6 (2018-12-18 10:46)

Für die Distributionen openSUSE Leap 15.0 und openSUSE Leap 42.3 stehen Sicherheitsupdates für 'pdns-recursor' bereit, um die referenzierten Schwachstellen zu beheben. Mittels des Sicherheitsupdates für openSUSE Leap 15.0 wird zusätzlich die Schwachstelle CVE-2018-16855 adressiert, die ein entfernter, nicht authentisierter Angreifer durch eine speziell präparierte DNS-Anfrage für einen Denial-of-Service (DoS)-Angriff ausnutzen kann.

Version 7 (2018-12-19 10:38)

Für openSUSE Backports SLE 15 steht ein Sicherheitsupdate bereit, mit dem die referenzierten Schwachstellen und zusätzlich die DoS-Schwachstelle CVE-2018-16855 behoben werden.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von verschiedenen Denial-of-Service (DoS)-Angriffen.

Die offiziellen Releases PowerDNS Authoritative Server 4.0.6 und 4.1.5 sowie PowerDNS Recursor 4.0.9 und 4.1.5 stehen bereit und beheben die Schwachstellen.

Für Fedora 27, 28 und 29 stehen Sicherheitsupdate in Form der Pakete 'pdns-4.1.5-1.fc27', 'pdns-4.1.5-1.fc28' und 'pdns-4.1.5-1.fc29' im Status 'testing' bereit. Die Software wird damit auf Version 4.1.5 aktualisiert.

Schwachstellen:

CVE-2018-10851

Schwachstelle in PowerDNS Recursor, PowerDNS Authoritative (Server) ermöglicht Denial-of-Service-Angriff

CVE-2018-14626

Schwachstelle in PowerDNS Recursor, PowerDNS Authoritative (Server) ermöglicht Denial-of-Service-Angriff

CVE-2018-14644

Schwachstelle in PowerDNS Recursor ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.