High-Severity DoS Vulnerability Found in PowerDNS DNSdist (CVE-2025-30194)
2025/04/30 SecurityOnline — PowerDNS チームが公開したのは、同社の DNS ロード・バランサーである DNSdist に存在する、サービス拒否 (DoS) 脆弱性 CVE-2025-30194 (CVSS:7.5) に関するセキュリティ・アドバイザリである。この脆弱性は、DNS over HTTPS (DoH) の nghttp2 プロバイダーが設定されているバージョン 1.9.0〜1.9.8 に影響を及ぼし、悪意の DoH エクスチェンジにより悪用される可能性がある。
この問題は、Use After Free (CWE-416) に起因するものであり、不適切なメモリ管理が原因となる二重解放エラーにより、DNSdist サービスがクラッシュし、サービス拒否の可能性が生じる。
PowerDNS はアドバイザリの中で、「nghttp2 プロバイダー経由で DoH を提供するように、DNSdist がコンフィグされている場合には、DoH エクスチェンジを作成する攻撃者は、不正なメモリ・アクセス (二重解放) と DNSdist のクラッシュにより、サービス拒否攻撃を引き起こす可能性を手にする」と説明している。
システム侵害やコード実行のリスクは無いとされるが、この脆弱性を悪用するリモートからの攻撃で DNSdist がクラッシュし、DNS 解決サービスが中断する可能性が懸念される。特に高可用性環境や、エンタープライズグレードの環境において、この問題は深刻なものとなる。つまり、クエリ転送やフィルタリングに DNSdist を利用するアプリケーションやサービスに、停止の可能性が生じることになる。
この攻撃には、高権限の取得やユーザー・インタラクションは不要であり、また、ネットワーク経由で悪用が可能であるため、公開されている DoH エンドポイントにとって、懸念される問題となっている。
- この脆弱性の影響を受けるバージョン:
DNSdist バージョン 1.9.0 〜 1.9.8 - 影響を受けないバージョン:
DNSdist バージョン 1.9.0 未満 - この問題が修正されたバージョン:
DNSdist バージョン 1.9.9
管理者に対して強く推奨されるのは、バージョン 1.9.9 へと速やかにアップグレードし、このリスクを軽減することだ。
迅速なアップデートが不可能なシステムの場合に、PowerDNS が一時的な回避策として推奨するのは、「DNSdist が修正バージョンにアップグレードされるまで、h2o プロバイダーに切り替える」という方法である。
PowerDNS dnsdist の脆弱性 CVE-2025-30194 が FIX しました。現時点では、悪用は確認されていないとのことですが、この脆弱性はリモートから悪用が可能という厄介なものです。ご利用のチームは、アップデートをお急ぎください。よろしければ、DNS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.