Vulnerabilidad en PowerDNS (CVE-2016-7068)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
11/09/2018
Última modificación:
09/10/2019
Descripción
Se ha descubierto un problema en PowerDNS en versiones anteriores a la 3.4.11 y 4.0.2, y PowerDNS recursor en versiones anteriores a la 3.7.4 y 4.0.4, que permite que un atacante no autenticado remoto provoque una carga de uso de CPU anormal en el servidor de PowerDNS mediante el envío de consultas DNS manipuladas, lo que podría resultar en una denegación de servicio (DoS) parcial si el sistema se sobrecarga. Este problema se basa en el hecho de que el servidor de PowerDNS analiza todos los registros presentes en una consulta, independientemente de si se necesitan o incluso si son legítimos. Una consulta especialmente manipulada que contiene un gran número de registros puede emplearse para aprovecharse de este comportamiento.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:powerdns:authoritative:*:*:*:*:*:*:*:* | 3.4.11 (excluyendo) | |
| cpe:2.3:a:powerdns:authoritative:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.0.2 (excluyendo) |
| cpe:2.3:a:powerdns:recursor:*:*:*:*:*:*:*:* | 3.7.4 (excluyendo) | |
| cpe:2.3:a:powerdns:recursor:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.0.4 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página