ASA-2019-00016 – PowerDNS: Lua hooks não são aplicados em certas configurações


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00016

Identificador(es)

ASA-2019-00016, CVE-2019-3806

Título

Lua hooks não são aplicados em certas configurações

Fabricante(s)

PowerDNS

Produto(s)

PowerDNS Recursor

Versão(ões) afetada(s)

PowerDNS Recursor da 4.1.4 até e incluindo 4.1.8

Versão(ões) corrigida(s)

PowerDNS Recursor 4.1.9

Prova de conceito

Desconhecida

Descrição

Foi encontrado um problema no PowerDNS Recursor, em que Lua hooks não são aplicados adequadamente a consultas recebidas sobre TCP em uma combinação específica de configurações, possivelmente ignorando as políticas de segurança impostas por meio de Lua.

Quando o recursor é configurado para executar com mais de uma thread (threads=X) e para fazer a distribuição de consultas de entrada para os próprias threads de trabalho (pdns-distributes-queries=yes), o script Lua não é carregado corretamente na thread de manipulação de consultas TCP de entrada, fazendo com que Lua hooks não sejam aplicados adequadamente.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

PowerDNS Recursor 4.1.9 Released
https://blog.powerdns.com/2019/01/21/powerdns-recursor-4-1-9-released/

PowerDNS Security Advisory 2019-01: Lua hooks are not applied in certain configurations
https://docs.powerdns.com/recursor/security-advisories/powerdns-advisory-2019-01.html

PowerDNS Security Advisories 2011-01 and 2019-02
https://seclists.org/oss-sec/2019/q1/77

CVE-2019-3806
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3806

CVE-2019-3806
https://nvd.nist.gov/vuln/detail/CVE-2019-3806

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 1 fevereiro 2019