PowerDNSの複数の脆弱性情報(Low:CVE-2018-14663 , Medium:CVE-2018-16855)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

11/26/2018にPowerDNSの複数の脆弱性情報(Low:CVE-2018-14663 , Medium:CVE-2018-16855)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



Priority

  • CVE-2018-14663

    Medium

    • SuSE
    • Red Hat Customer Potal
    • NVD
  • CVE-2018-16855

    Medium

    • SuSE
    • Red Hat Customer Potal
    • NVD

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14663
    • 不完全なチェックの可能性
    • 重要度 – Low
    • 1.3.2までのPowerDNS dnsdistに問題が見つかりました。末尾のデータにdnsdistによって付加されるレコード(例えばEDNSクライアントサブネットが付けられる時のOPTレコード)のような追加があると、リモートの攻撃者が後続にデータを含むDNSクエリをdnsdistに認識されないように作成する事が可能です。この問題は‘useClientSubnet’または‘addXPF’パラメータが新しいバックエンドを宣言する際に使われている時に発生します。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16855
    • DoSの可能性
    • 重要度 – Medium
    • 4.1.0から4.1.7までのPowerDNS Recursorに問題が見つかりました。リモートの攻撃者が細工されたDNSクエリを送った際、パケットキャッシュルックアップのクエリのハッシュを計算する時に境界外メモリ読み出しのトリガを引き起こし、クラッシュさせることが出来る可能性があることがわかりました。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

セキュリティ系連載案内

タイトルとURLをコピーしました