PT-2024-21017 · Powerdns+1 · Powerdns Dnsdist+1
Daniel Stirnimann
·
Publicado
2024-05-13
·
Atualizado
2025-09-11
·
CVE-2024-25581
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
PowerDNS DNSdist, versões 1.9.0 a 1.9.3
Descrição
Quando o suporte a DNS sobre HTTPS de entrada está habilitado usando o provedor nghttp2 e as consultas são roteadas para um backend somente TCP ou DNS sobre TLS, um invasor pode provocar uma falha de asserção no DNSdist enviando uma solicitação de transferência de zona (AXFR ou IXFR) por meio de DNS sobre HTTPS, fazendo com que o processo seja interrompido e, consequentemente, levando a uma negação de serviço. O DNS sobre HTTPS não está habilitado por padrão, e os backends utilizam DNS simples (Do53) por padrão.
Recomendações
Para as versões 1.9.0 a 1.9.3 do PowerDNS DNSdist, atualize para uma versão que inclua a correção para este problema a fim de evitar ataques de Negação de Serviço.
Como solução alternativa temporária, considere desativar o suporte a DNS sobre HTTPS usando o provedor nghttp2 até que um patch esteja disponível.
Restrinja o acesso ao serviço DNSdist para minimizar o risco de exploração.
Correção
DoS
Assertion Failure
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Powerdns Dnsdist
Red Os