UPDATE: DFN-CERT-2017-2169 PowerDNS Recursor: Mehrere Schwachstellen ermöglichen u.a. die Änderung der Konfiguration des Recursors [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2017-2169 PowerDNS Recursor: Mehrere Schwachstellen ermöglichen u.a. die Änderung der Konfiguration des Recursors [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.12.2017):
Für openSUSE Leap 42.2 und 42.3 stehen Backport-Sicherheitsupdates für
‘pdns-recursor’ bereit, mit denen die Schwachstellen behoben werden.
Version 1 (04.12.2017):
Neues Advisory

Betroffene Software:

PowerDNS Recursor < 4.0.7 Betroffene Plattformen: GNU/Linux openSUSE Leap 42.2 openSUSE Leap 42.3 Red Hat Fedora 25 Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer die Änderung von Zonen- und Zugangskontrollkonfigurationen im PowerDNS Recursor. Mehrere weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Darstellung falscher Informationen, einen Cross-Site-Scripting- sowie einen Denial-of-Service-Angriff. Der Hersteller stellt PowerDNS Recursor 4.0.7 als Sicherheitsupdate bereit. Für die einzelnen Schwachstellen stehen zusätzlich Patches zur Verfügung. Die Schwachstellen betreffen den Versionszweig 4.x von PowerDNS Recursor bis inklusive 4.0.6, die schwerwiegende Schwachstelle CVE-2017-15093 betrifft auch den Versionszweig 3.x bis inklusive Version 3.7.4. Für Fedora 25, 26 und 27 stehen Sicherheitsupdates auf die aktuelle Version 4.0.7 im Status 'testing' bereit. Workaround: Zur Umgehung von CVE-2017-15093 kann der Konfigurationsparameter 'api-config-dir' auf einen leeren Wert gesetzt (Standardeinstellung) oder die API über den Konfigurationsparameter 'api-readonly' geschützt werden. Die Ausnutzung der Schwachstelle CVE-2017-15094 kann durch Deaktivierung der DNSSEC-Validierung umgangen werden. Patch: Fedora Security Advisory FEDORA-2017-608b6f5945 (Fedora 27, pdns-recursor-4.0.7-1.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2017-608b6f5945

Patch:

Fedora Security Update FEDORA-2017-1585789772 (Fedora 26,
pdns-recursor-4.0.7-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-1585789772

Patch:

Fedora Security Update FEDORA-2017-81fe39ad9f (Fedora 25,
pdns-recursor-4.0.7-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-81fe39ad9f

Patch:

PowerDNS Authoritative Server 4.0.5 and Recursor 4.0.7 Release Notes

https://blog.powerdns.com/2017/11/27/powerdns-authoritative-server-4-0-5-and-recursor-4-0-7-released/

Patch:

PowerDNS Security Advisory 2017-03: Insufficient validation of DNSSEC
signatures

https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-03.html

Patch:

PowerDNS Security Advisory 2017-05: Cross-Site Scripting in the web
interface

https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-05.html

Patch:

PowerDNS Security Advisory 2017-06: Configuration file injection in the API

https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-06.html

Patch:

PowerDNS Security Advisory 2017-07: Memory leak in DNSSEC parsin

https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-07.html

Patch:

openSUSE Security Update openSUSE-SU-2017:3218-1

http://lists.opensuse.org/opensuse-updates/2017-12/msg00021.html

CVE-2017-15094: Schwachstelle in PowerDNS Recursor ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von DNSSEC ECDSA-Schlüsseln kann es zu einem
Speicherleck kommen, falls deren Validierung durch einen von ‘off’ oder
‘process-no-validate’ verschiedenen Wert in den DNSSEC-Einstellungen
aktiviert ist. Ein entfernter, nicht authentisierter Angreifer kann mit
Hilfe eines autoritativen Servers speziell präpariertes Schlüsselmaterial an
den PowerDNS Recursor schicken und dadurch einen Denial-of-Service-Angriff
ausführen.

CVE-2017-15093: Schwachstelle in PowerDNS Recursor ermöglicht
Privilegieneskalation

Die Programmschnittstelle (API) von PowerDNS Recursor bis inklusive Version
3.7.4 und 4.0.6 ermöglicht einem entfernten, einfach authentisierten
Angreifer das Ändern der Konfiguration der Software, falls der Wert für das
Verzeichnis ‘api-config-dir’ auf einen nicht leeren Wert gesetzt ist. In der
Standardkonfiguration ist das nicht der Fall. Der Angreifer kann in dem Fall
Netzmasken in Zugangskontrolllisten hinzufügen und entfernen und
Forward-Zones rekonfigurieren.

CVE-2017-15092: Schwachstelle in PowerDNS Recursor ermöglicht
Cross-Site-Scripting-Angriff

Das Attribut ‘qname’ von DNS-Anfragen wird in der Weboberfläche von PowerDNS
Recursor 4.0.0 bis 4.0.6 unmaskiert dargestellt. Ein entfernter, nicht
authentisierter Angreifer kann durch speziell präparierte DNS-Anfragen einen
Cross-Site-Scripting-Angriff auf Benutzer der Weboberfläche ausführen und
dort beliebigen HTML- und JavaScript-Programmcode darstellen.

CVE-2017-15090: Schwachstelle in PowerDNS Recursor ermöglicht Darstellung
falscher Informationen

In der Komponente zur Validierung von DNSSEC-Einträgen in PowerDNS 4.0.0 bis
4.0.6 besteht eine Schwachstelle, durch die Signaturen fehlerhaft als gültig
anerkannt werden, auch wenn die Signatur nicht der Bailliage (Bailiwick) des
zur Unterzeichnung verwendeten DNS-Schlüssels entstammt. Ein entfernter,
nicht authentisierter Angreifer in einer privilegierten Position im Netzwerk
(als Man-in-the-Middle) kann dadurch den Inhalt von DNS-Einträgen verändern.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2169/

Schwachstelle CVE-2017-15090 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15090

Schwachstelle CVE-2017-15092 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15092

Schwachstelle CVE-2017-15093 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15093

Schwachstelle CVE-2017-15094 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15094

Fedora Security Advisory FEDORA-2017-608b6f5945 (Fedora 27,
pdns-recursor-4.0.7-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-608b6f5945

Fedora Security Update FEDORA-2017-1585789772 (Fedora 26,
pdns-recursor-4.0.7-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-1585789772

Fedora Security Update FEDORA-2017-81fe39ad9f (Fedora 25,
pdns-recursor-4.0.7-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-81fe39ad9f

PowerDNS Authoritative Server 4.0.5 and Recursor 4.0.7 Release Notes:
https://blog.powerdns.com/2017/11/27/powerdns-authoritative-server-4-0-5-and-recursor-4-0-7-released/

PowerDNS Security Advisory 2017-03: Insufficient validation of DNSSEC
signatures:
https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-03.html

PowerDNS Security Advisory 2017-05: Cross-Site Scripting in the web interface:
https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-05.html

PowerDNS Security Advisory 2017-06: Configuration file injection in the API:
https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-06.html

PowerDNS Security Advisory 2017-07: Memory leak in DNSSEC parsin:
https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2017-07.html

openSUSE Security Update openSUSE-SU-2017:3218-1:
http://lists.opensuse.org/opensuse-updates/2017-12/msg00021.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben