Update Released for PowerDNS to Thwart Denial of Service Attack (CVE-2024-25581)
2024/05/13 SecurityOnline — オープンソース DNS ソフトウェア・プロバイダーとして人気の PowerDNS は、DNSdist 1.9.0〜1.9.3 に存在する脆弱性 CVE-2024-25581 に対して、セキュリティ・アドバイザリをリリースした。この脆弱性の悪用に成功した攻撃者は、サービス拒否 (DoS) 状態を引き起こすことが可能になり、インターネット・サービス・プロバイダー (ISP)/ホスティング・プロバイダーなどの、大規模サービス・プロバイダーの DNS 解決を中断させる可能性を持つ。
PowerDNS は、安全なオープンソース/プロプライエタリ DNS ソリューションで有名であり、主にブロードバンド事業者やホスティング・サービスを対象としている。同社の DNSdist 製品は、インターネット・サービスのパフォーマンスとセキュリティを強化し、ユーザーを DDoS 攻撃やマルウェアから保護するだけではなく、高水準のサービスを維持するよう設計されている。
脆弱性 CVE-2024-25581 (CVSS:7.5) は、DNSdist の DNS over HTTPS (DoH) リクエストの処理で特定され、特に着信 DoH サポートに nghttp2 プロバイダーを使用するセットアップに影響する。DNSdist によりクエリが TCP 専用に設定される標的に対して、あるいは、DNS over TLS バックエンドにルーティングするよう設定される標的に対して、攻撃者が DoH 経由でゾーン転送 (AXFR or IXFR) を要求することで、このコンフィグレーションは悪用される。このリクエストは、アサーション失敗をトリガーとして、DNSdist プロセスの突然の終了を引き起こし、効果的に DoS 状態を発生させる。
重要なのは、DNS over HTTPS はデフォルトの設定ではなく、大半のバックエンドでは一般的にプレーン DNS (Do53) が使用されるため、標準的なコンフィグレーションでは侵害が制限されることである。
PowerDNS は、5月13日にリリースした DNSdist バージョン 1.9.4 で、この深刻な脆弱性に対処している。すぐにアップグレードできないユーザーに対して、同社は2つの緊急回避策を提供している:
- XFR リクエストの拒否: ユーザーは、特定のルールを実装することで、DNSdist の受信 XFR リクエストを拒否するように設定できる:addAction(OrRule({QTypeRule(DNSQType.AXFR), QTypeRule(DNSQType.IXFR)}), RCodeAction(DNSRCode.REFUSED))
- プロバイダーの切り替え: library=’h2o’ を使用するように addDOHLocal ディレクティブを修正することで、従来の h2o プロバイダーに切り替えることが可能である。
また、すぐにアップグレードができないユーザーに対しては、バージョン 1.9.3 のパッチも提供されている。
PowerDNS とは、とうことで Wikipedia で調べてみたら、「C++ で書かれ、GPL でライセンスされている DNS サーバー・プログラムであり、大半の Unix 派生製品上で動作する。 PowerDNS は、単純な BIND スタイルのゾーン・ファイルからリレーショナル ・データベースおよびロードバランシング/フェイルオーバー ・アルゴリズムに至るまで、多数の異なるバックエンドを備えているま。なお、DNS Recursor は、別のプログラムとして提供される」と記されていました。よろしければ、DNS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.