H εταιρεία OX (Open-Xchange) διορθώνει 5 ευπάθειες για τον PowerDNS κάνοντας release διάφορα patches.
Ο PowerDNS είναι ένας ανεπτυγμένος και πολύ γρήγορος nameserver ανοιχτού κώδικα ο οποίος χρησιμοποιείται από εκατομμύρια χρήστες και εταιρείες. Έκανε την εμφάνιση του στα τέλη της δεκαετίας του 90’ και το 2015 εξαγοράστηκε από την εταιρεία OX. Τα 3 προϊόντα της είναι τα “Authoritative Server”, “Recursor” και “dnsdist” τα οποία είναι 100% open source, έχουν 100% support και χρησιμοποιούνται από από απλούς χρήστες μέχρι μεγάλους τηλεπικοινωνιακούς παρόχους.
Βέβαια, στον χώρο της τεχνολογίας και ειδικά των υπολογιστών και Open Source προγραμμάτων εντοπίζονται συχνά ευπάθειες. Στον PowerDNS συναντάμε από CVE-2017-15090 έως CVE-2017-15094 και περιέχουν DDoS επιθέσεις, επεξεργασία δεδομένων και αλλά. Ας τις δούμε όμως λίγο πιο αναλυτικά.
CVE-2017-15090: Αφορά το PowerDNS Recursor και τις εκδόσεις 4.0.0 -4.0.0.6 στις οποίες παρουσιάζεται ευπάθεια στο DNSSEC validation εάν κάποιος χρησιμοποιήσει man-in-the-middle επίθεση με σκοπό να επεξεργαστεί δεδομένα.
CVE- 2017-15091: Είναι το μοναδικό που αφορά τον PowerDNS Authoritative Server ο οποίος απόκτα κενό ασφαλείας αν κάποιος έχει διαπιστευτήρια API.
CVE-2017-15092: Ένα XSS(Cross-Site Scripting) vulnerability το οποίο επιτρέπει στον επιτιθέμενο να μολύνει με arbitrary HTML και JavaScript κώδικα το περιβάλλον του Recursor.
CVE-2017-15093: Κενό ασφαλείας του Recursor που επιτρέπει σε κάποιον να αλλάξει τις ρυθμίσεις του προγράμματος χωρίς να είναι πιστοποιημένος.
CVE-2017-15094: Κενό ασφαλείας το οποίο προκαλείται από memory leak κατά την διάρκεια ανάλυσης και επεξεργασίας DNSSEC ECDSA κλειδιών και προκαλεί DdoS επιθέσεις.
Η εταιρεία ανέβασε στο site της μια λίστα με τα σφάλματα που έχει και τα αντίστοιχα patches που τα διορθώνουν. Μπορείτε να τα δείτε στο παρακάτω link.
https://doc.powerdns.com/recursor/security-advisories/index.html