Menü

DoS-Schwachstellen in PowerDNS

vorlesen Drucken Kommentare lesen 1 Beitrag

Der DNS-Server PowerDNS, den etwa das Wikipedia-Projekt einsetzt, enthält zwei Fehler, die Angreifer zu einem Denial-of-Service und möglicherweise zum Einschleusen von Schadcode nutzen können. PowerDNS ist ein mächtiger DNS-Server, der auf unterschiedliche Backends und Datenquellen wie etwa BIND oder MySQL-Server zur Namensauflösung zugreifen und die Ergebnisse im Speicher zur schnelleren Auslieferung bei Wiederholungsanfragen zwischenspeichern kann.

Durch eine fehlerhafte Berechnung der Länge einer DNS-Anfrage via TCP kann es passieren, dass PowerDNS versucht, bis zu 4 GByte Speicher in einen 64 kByte großen Puffer zu lesen. Möglicherweise können Angreifer darüber ein System kompromittieren. Außerdem kann der DNS-Server durch einen CNAME-Loop in eine Endlosschleife geraten, wenn kein zweiter CNAME-Eintrag vorhanden ist.

Die Fehler betreffen PowerDNS 3.1.3 und vorherige Versionen. Die PowerDNS-Entwickler stellen inzwischen die Quellen der Version 3.1.4 bereit, auf die betroffene Administratoren aktualisieren sollten.

Siehe dazu auch:

(dmk)