PowerDNSの脆弱性情報(Medium: CVE-2018-10851, CVE-2018-14626, CVE-2018-14644)

OSS脆弱性ブログ

こちらでは主にOSSの脆弱性を取り上げていきます。11/06/2018にPowerDNSの脆弱性情報(Medium: CVE-2018-10851, CVE-2018-14626, CVE-2018-14644)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

2018.11.072023.04.06

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

一次情報源

Security Advisories(https://doc.powerdns.com/recursor/security-advisories/index.html)

Priority

CVE-2018-10851
Medium
- SuSE
- Red Hat Customer Potal
- NVD
CVE-2018-14626
Medium
- SuSE
- Red Hat Customer Potal
- NVD
CVE-2018-14644
Medium
- SuSE
- Red Hat Customer Potal
- NVD

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10851
- DoSの可能性
- 重要度 – Medium
- 3.2から4.1.4までのPowerDNS Recursorに問題が見つかりました。悪意のある権威サーバが特別に細工されたレコードを送ることにより、メモリリークを発生させることが出来ます。この問題は、いくつかのメモリがパースされる前に割り当てられていて、レコードが不正な形式の場合には適切に開放されないことがあるためです。
- PowerDNS Recursorがsupervisordやsystemdのようなスーパバイザの中で実行されている場合には、out-of-memoryによるクラッシュで自動的に再起動されるため、影響は幾らかのサービス劣化に留まります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14626
- 重要度 – Medium
- 4.0.0から4.1.4までのPowerDNS Recursorに問題が見つかりました。リモートユーザがDNSSECレコードが入らない応答をパケットキャッシュに細工し、クライアントにDNSSECレコードの確認が帰ってくるようにすることで、特定のqnameとqtypeのDNSSEC署名の存在を隠すことが出来ます。DNSSEC署名されたドメインでは、これはクライアントがDNSSEC確認を彼ら自身で行い、応答がパケットキャッシュからエクスパイアされるまで偽物だと思わせる事ができることを意味しており、DoSを引き起こす事が出来る可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14644
- 情報の漏洩とDoSの可能性
- 重要度 – Medium
- 4.0.0から4.1.4までのPowerDNS Recursorに問題が見つかりました。リモートの攻撃者がOPTのようなメタタイプのDNSクエリを送信することで、DNSSECの検証に失敗したとして誤ってキャッシュされているゾーンにつながる可能性が有ります。親ゾーンが署名され、その親ゾーンの全ての権威あるサーバが、少なくとも１つのメタタイプのクエリに対してFORMERRで応答する場合にのみ発生します。結果として、DNSSEC検証を要求するクライアントからの引き続きのクエリには、ServFailで応答されます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

Debian
https://security-tracker.debian.org/tracker/CVE-2018-10851
https://security-tracker.debian.org/tracker/CVE-2018-14626
https://security-tracker.debian.org/tracker/CVE-2018-14644
Red Hat Enterprise Linux/CentOS
Ubuntu
SUSE/openSUSE

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

PowerDNS security problems (https://PowerDNS.haxx.se/docs/security.html)

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。

セミナー情報 2

2018/11/14 17:00に、「NGINX MeetUp Tokyo #1」を行います。

今回はNGINX .conf 2018 現地参加者より最新情報を共有させて頂きます。

https://nginx-mj.connpass.com/event/103617/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。