DFN-CERT-2017-1488 dnsdist: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff und das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2017-1488 dnsdist: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff und das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

dnsdist < 1.2.0 Betroffene Plattformen: GNU/Linux Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in dnsdist ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder die Sicherheitsvorkehrung der Zugriffskontrolllisten (ACLs) für dnsdist auszuhebeln. Die erstgenannte Schwachstelle betrifft nur 32-Bit-Systeme. Von der zweiten Schwachstelle ist nur dnsdist 1.1.0 betroffen. Der Hersteller hat diese Schwachstellen mit der dnsdist Version 1.2.0 behoben und stellt Minimalpatches für Benutzer der Version 1.1.0 zur Verfügung, die das Update auf Version 1.2.0 nicht durchführen können. Für Fedora 25 und 26 sowie Fedora EPEL 7 stehen Sicherheitsupdates Version 1.2.0 im Status 'pending' bereit. Patch: Fedora Security Update FEDORA-2017-487fae29b4 (Fedora 26, dnsdist-1.2.0-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-487fae29b4

Patch:

Fedora Security Update FEDORA-2017-98e8569b33 (Fedora 25,
dnsdist-1.2.0-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-98e8569b33

Patch:

Fedora Security Update FEDORA-EPEL-2017-fc1436acf8 (Fedora EPEL 7,
dnsdist-1.2.0-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-fc1436acf8

Patch:

PowerDNS Security Advisory 2017-01 for dnsdist: Crafted backend responses
can cause a denial of service (CVE-2016-7069)

https://dnsdist.org/security-advisories/powerdns-advisory-for-dnsdist-2017-01.html

Patch:

PowerDNS Security Advisory 2017-02 for dnsdist: Alteration of ACLs via API
authentication bypass (CVE-2017-7557)

https://dnsdist.org/security-advisories/powerdns-advisory-for-dnsdist-2017-02.html

Patch:

dnsdist 1.2.0 Release Notes

https://blog.powerdns.com/2017/08/21/dnsdist-1-2-0-released/

CVE-2017-7557: Schwachstelle in dnsdist ermöglicht Umgehen von
Sicherheitsvorkehrungen

In dnsdist 1.1.0 existiert eine Schwachstelle im Authentisierungsmechanismus
der API. API-Methoden sollten nur Benutzern zugänglich sein, die über einen
X-API-Key HTTP-Header authentisiert sind, und nicht solchen Benutzern,
welche auf dem Webserver lediglich mittels ‘Basic Authentication’
authentisiert sind. dnsdist 1.1.0 erlaubt jedoch beiden Arten von Benutzern
den Zugriff auf alle API-Methoden. In der Standardkonfiguration ist über die
API nicht mehr Information zugänglich, als über den Webserver, so dass
dieses Problem nicht sicherheitsrelevant wäre. Falls über die API aber
Konfigurationsänderungen zugelassen sind (über die Option
‘setAPIWritable(true)’), kann ein entfernter, nicht authentisierter
Angreifer die Schwachstelle in einem Cross-Site-Request-Forgery
(CSRF)-Angriff ausnutzen, um darüber die Zugriffskontrolllisten (ACLs) von
dnsdist zu editieren und dadurch Sicherheitsvorkehrungen zu umgehen. Dazu
muss der Angreifer einen einen authentisierten Benutzer dazu verleiten, eine
entsprechend präparierte Webseite zu besuchen.

CVE-2016-7069: Schwachstelle in dnsdist ermöglicht Denial-of-Service-Angriff

In dnsdist existiert eine Schwachstelle, die in der Art und Weise begründet
liegt, wie EDNS0 OPT Records beim Parsen von Antworten von einem Backend
verarbeitet werden. Wenn dnsdist so konfiguriert ist, dass ‘EDNS Client
Subnet’ zu einer Anfrage hinzugefügt wird, kann die Antwort einen EDNS0 OPT
Record enthalten, welcher vor der Weiterleitung der Antwort an den
anfänglichen Client entfernt werden muss. Auf einem 32-Bit-System kann die
Zeigerarithmetik (Pointer Arithmetic), welche beim Parsen der empfangenen
Antwort zur Entfernung dieses Records verwendet wird, ein undefiniertes
Verhalten auslösen, durch das es zu einem Absturz kommt. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1488/

Fedora Security Update FEDORA-2017-487fae29b4 (Fedora 26,
dnsdist-1.2.0-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-487fae29b4

Fedora Security Update FEDORA-2017-98e8569b33 (Fedora 25,
dnsdist-1.2.0-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-98e8569b33

Fedora Security Update FEDORA-EPEL-2017-fc1436acf8 (Fedora EPEL 7,
dnsdist-1.2.0-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-fc1436acf8

PowerDNS Security Advisory 2017-01 for dnsdist: Crafted backend responses can
cause a denial of service (CVE-2016-7069):
https://dnsdist.org/security-advisories/powerdns-advisory-for-dnsdist-2017-01.html

PowerDNS Security Advisory 2017-02 for dnsdist: Alteration of ACLs via API
authentication bypass (CVE-2017-7557):
https://dnsdist.org/security-advisories/powerdns-advisory-for-dnsdist-2017-02.html

dnsdist 1.2.0 Release Notes:
https://blog.powerdns.com/2017/08/21/dnsdist-1-2-0-released/

Schwachstelle CVE-2016-7069 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7069

Schwachstelle CVE-2017-7557 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7557

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben