Global Preloader
Vulnerabilidad
(28/Nov/2017) PowerDNS corrige cinco vulnerabilidades en su software

PowerDNS corrige cinco vulnerabilidades en su software

PowerDNS, la compañía detrás del popular software de codigo abierto, ha lanzado actualizaciones de seguridad y parches para sus ofertas de Servidor Autorizado y Recursor que, entre otras cosas, solucionan cinco vulnerabilidades de seguridad de importancia.

"Los usuarios y clientes de PowerDNS incluyen importantes proveedores de servicios de telecomunicaciones, integradores a gran escala, Wikipedia, redes de distribución de contenido, redes de cable/operadores de servicios múltiples y empresas de software Fortune 500", proclama la compañía en su sitio.

El desarrollador de PowerDNS Remi Gacogne detalló las vulnerabilidades en una publicación en la lista de correo de seguridad de código abierto (oss-sec), y señaló que cada una de ellas puede explotarse solo si el destino tiene una configuración específica que no está habilitada por defecto.

Los problemas de seguridad, numerados secuencialmente de CVE-2017-15090 a CVE-2017-15094, no pueden llevar a comprometer el sistema, pero se pueden usar para alterar el contenido de los registros, provocar denegación de servicio, alterar el contenido de las interfaces web, cambiar configuraciones, y conducir a una 'pérdida de memoria'.

CVE-2017-15091, la única vulnerabilidad entre estas que afecta al servidor autorizado de PowerDNS, puede ser activada solo por atacantes que tienen en sus manos las credenciales de API válidas.

CVE-2017-15090, puede ser explotado por atacantes que hayan logrado una posición de intermediario para emitir una firma válida para registros de DNSSEC falsos.

CVE-2017-15093, solo puede ser activado por atacantes con credenciales de API válidas, lo que les permite inyectar nuevas directivas de configuración en la configuración del Recursor.

El riesgo derivado de dos de los defectos puede mitigarse mediante soluciones provisionales, pero la implementación de las actualizaciones (PowerDNS Authoritative 4.0.5 y Recursor 4.0.7) y los parches (para las versiones 3.4.11 y 3.7.4) es la solución sugerida.