For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00478
Identificador(es)
ASA-2019-00478, CVE-2019-10203
Título
Negação de serviço via registros de zona criados
Fabricante(s)
PowerDNS
Produto(s)
PowerDNS Authoritative Server
Versão(ões) afetada(s)
PowerDNS Authoritative Server versões até e incluindo 4.1.10 são afetadas quando usando gpgsql (PostgreSQL) backend
Versão(ões) corrigida(s)
Para corrigir o problema, execute* o seguinte comando em seu banco de dados pdns no PostgreSQL:
`ALTER TABLE domains ALTER notified_serial TYPE bigint USING CASE WHEN notified_serial >= 0 THEN notified_serial::bigint END;`
Nenhuma alteração de software é necessária.
Pacotes atualizados (que contêm apenas uma alteração de esquema do Postgres) serão liberados posteriormente.
Prova de conceito
Desconhecido
Descrição
Foi encontrado um problema no PowerDNS Authoritative Server, permitindo que um usuário autorizado faça o servidor sair inserindo um registro criado em uma zona do tipo MASTER sob seu controle. O problema se deve ao fato de que o Authoritative Server sairá quando tentar armazenar o serial notificado no banco de dados PostgreSQL, se este serial não puder ser representado em 31 bits.
Detalhes técnicos
Desconhecido
Créditos
Klaus Darilion
Referência(s)
PowerDNS Security Advisory 2019-06: Denial of service via crafted zone records
https://docs.powerdns.com/authoritative/security-advisories/powerdns-advisory-2019-06.html
PowerDNS Security Advisory 2019-06: Denial of service via crafted zone records
https://www.openwall.com/lists/oss-security/2019/07/30/2
CVE-2019-10203
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10203
CVE-2019-10203
https://nvd.nist.gov/vuln/detail/CVE-2019-10203
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 8 dezembro 2019