PowerDNS の脆弱性 CVE-2025-30193 が FIX：悪意の TCP 接続によるサービス拒否攻撃

PowerDNS Vulnerability Allows Attackers to Trigger DoS Attacks Through Malicious TCP Connections

2025/05/21 gbhackers — PowerDNS がリリースしたのは、DNSdist ロード・バランサーに存在する脆弱性に対処するための、重要なセキュリティ・アップデートである。この脆弱性の悪用に成功したリモート攻撃者は、認証を必要とするサービス拒否攻撃を仕掛ける可能性を手にする。この脆弱性 CVE-2025-30193 は、2025年5月20日にリリースされたバージョン 1.9.10 で修正されている。

この脆弱性を悪用されると、特定の TCP 接続の巧妙な細工により、サービスが圧迫される可能性がある。したがって、DNSdist を使用している組織は、速やかにアップデートを適用し、サービス中断の可能性を防ぐ必要があると、研究者たちは警告している。

先日に PowerDNS DNSdist で発見された脆弱性は、バージョン 1.9.10 未満に影響をもたらすものであり、その悪用により、DNS インフラに重大なセキュリティ・リスクをもたらす。

前述のとおり、この脆弱性を悪用する未認証のリモート攻撃者は、特定の TCP 接続を処理する際の DNSdist の欠陥を突くことで、サービス中断を引き起こす機会を得る。

なお、セキュリティ専門家たちによると、この脆弱性に関する情報は、開発チームがセキュリティへの影響を確認する前の段階で、PowerDNS のパブリック IRC チャネルで報告されたという。

PowerDNS の技術分析によると、この脆弱性は、TCP 接続状態の不適切な処理に起因しており、それを悪用する攻撃者は、サーバ・リソースを枯渇させる可能性を得る。

UDP トラフィックを標的化させる、DNS 関連の一般的な 脆弱性は異なり、想定される攻撃手法は TCP 接続処理メカニズムを悪用するものとなる。

この問題は、DNS インフラのフロントエンド・ロードバランサーとして、DNSdist を使用している組織にとって深刻なものとなる。つまり、この脆弱性が悪用されると、ネットワーク全体で DNS サービスが利用できなくなる可能性が生じる。

緩和策と回避策

すでに PowerDNS は、修正バージョンをリリースし、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、バージョン 1.9.10 への速やかなアップグレードである。

迅速なアップグレードが不可能な組織向けに、PowerDNS は一時的な回避策を概説し、リスクの軽減を促している。

管理者に推奨されるのは、setMaxTCPQueriesPerConnection ディレクティブを実装することで、単一の着信 TCP 接続で受け入れるクエリ数を制限することだ。PowerDNS はアドバイザリの中で、「この値を 50 に設定することは安全な選択であり、当社のテストではパフォーマンスに影響を与えなかった」と述べています。

このコンフィグ変更により、通常の DNS 操作を維持しながら、攻撃者による脆弱性の悪用を効果的に防ぐことが可能となる。ただし、この回避策は、一時的な保護を提供するものであり、恒久的な解決策とは見なすべきではなく、アップグレードが推奨されると、セキュリティ研究者たちは強調している。

セキュリティの改善と可用性

DNSdist のバージョン 1.9.10 には、脆弱性 CVE-2025-30193 の修正に加えて、いくつかの重要なセキュリティ修正が取り込まれている。

主な改善点として挙げられるのは、プロキシ・プロトコル対応の送信 TCP 接続の制限／getAddressInfo 使用時のメモリ破損問題の修正／利用できない TCP 専用バックエンドのキャッシュ検索動作の改善／FreeBSD システムにおけるソケット処理の強化 (ANY にバインドされたソケットの送信元アドレスだけを渡す) などである。

なお、更新されたソフトウェアは、複数の配布チャネルから入手できる。ユーザーは、PowerDNS の公式ダウンロード Web サイトから、今回のリリースの tarball とシグネチャをダウンロードできる。

PowerDNS がサポートされる Linux ディストリビューションを使用している場合には、すでにパッケージ・リポジトリがパッチ適用バージョンに更新されている。なお、アップデートで発生した問題については、メーリング・リストまたは GitHub ページを通じて報告してほしいと、PowerDNS は呼びかけている。

研究者たちが警告するのは、この脆弱性が公開されていること、そして、サービス拒否状態を引き起こす方法が比較的容易であることから、この脆弱性を狙うエクスプロイトが、急速に出現する可能性である。したがって、DNS 管理者たちは、このアップデートを優先的に実施する必要がある。

PowerDNS DNSdist 1.9.10 がリリースされ、DoS 脆弱性 CVE-2025-30193 などのセキュリティ欠陥が修正されました。ご利用のチームは、アップデートをご検討ください。なお、同製品の直近の脆弱性は、2025/04/30 の「PowerDNS DNSdist の脆弱性 CVE-2025-30194 が FIX：サービス拒否の可能性」となります。よろしければ、PowerDNS で検索と併せて、ご参照ください。