ASA-2018-00039 – DNSDist: Poluição de registro ao adicionar ECS ou XPF


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00039

Identificador(es)

ASA-2018-00039, CVE-2018-14663

Título

Poluição de registro ao adicionar ECS ou XPF

Fabricante(s)

PowerDNS

Produto(s)

dnsdist

Versão(ões) afetada(s)

PowerDNS DNSDist até e incluindo 1.3.2

Versão(ões) corrigida(s)

PowerDNS DNSDist 1.3.3

Prova de conceito

Desconhecido

Descrição

Foi encontrado um problema no PowerDNS DNSDist permitindo um atacante remoto criar requisições DNS especiais com dados finais, de modo que a adição de um registro pelo dnsdist, por exemplo um registro OPT ao adicionar EDNS Client Subnet, poderia fazer com que os dados finais fossem movidos para o backend com um registro válido enquanto não visto pelo dnsdist. Isto é um problema quando o dnsdist é implementado como um firewall DNS e usado para filtrar alguns registros que não deveriam ter sido recebido pelo backend. Este problema acontece somente quando os parâmetros ‘useClientSubnet’ ou o experimental ‘addXPF’ são usados para declarar um novo backend.

Referência(s)

PowerDNS Security Advisory for dnsdist 2018-08: Record smuggling when adding ECS or XPF
https://dnsdist.org/security-advisories/powerdns-advisory-for-dnsdist-2018-08.html

PowerDNS Security Advisories for dnsdist 2018-08
https://seclists.org/oss-sec/2018/q4/141

CVE-2018-14663
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14663

CVE-2018-14663
https://nvd.nist.gov/vuln/detail/CVE-2018-14663

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 9 de novembro de 2018