开源 DNS 服务软件 PowerDNS 曝出五个安全漏洞

来源: 投稿
作者: 王练
2017-11-29 08:02:08

开源 DNS 软件服务商 PowerDNS 建议用户尽快更新其 “Authoritative” 和 “Recursor” ,以压制近期披露的五个漏洞。这些漏洞都没有给 PowerDNS 本身带来危害风险,但攻击者能够利用各种方式对用户进行 DNS 欺诈。

具体包括:

  • 针对 Recursor 的 CVE-2017-15090,DNSSEC 签名验证可能会让一名中间人攻击者发出伪造记录的有效签名。

  • 针对 DNSSEC 实施的 CVE-2017-15094,这是一个拒绝服务的 bug 。授权服务器制作的数据包可能会导致 Recursor 中的内存泄漏。

  • CVE-2017-15092 ,PowerDNS Recursor 的 Web 界面中的跨站脚本 bug 。

  • CVE-2017-15093,PowerDNS Recursor 同时受其配置文件注入 API 的影响。

  • CVE-2017-15091,针对 PowerDNS Authoritative,影响对 API 操作的缺失检查。

PowerDNS 的 Remi Gacogne 表示,这些 bug 只影响非默认配置,主要影响的是 4.0.0 以上的版本。针对上诉的漏洞,已发布 PowerDNS Authoritative 4.0.5 和 Recursor 4.0.7 ,建议尽快升级

展开阅读全文
点击加入讨论🔥(1) 发布并加入讨论🔥
1 评论
3 收藏
分享
返回顶部
顶部