Vulnerabilidad en PowerDNS (CVE-2016-7074)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
11/09/2018
Última modificación:
09/10/2019
Descripción
Se ha descubierto un problema en PowerDNS en versiones anteriores a la 3.4.11 y 4.0.2, y PowerDNS recursor en versiones anteriores a la 4.0.4, lo que permite que un atacante en posición Man-in-the-Middle (MitM) altere el contenido de un AXFR debido a una validación insuficiente de firmas TSIG. Falta una comprobación de que el registro TSIG es el último, lo que conduce a la posibilidad de que se analicen registros que no están cubiertos por la firma TSIG.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:powerdns:authoritative:*:*:*:*:*:*:*:* | 3.4.11 (excluyendo) | |
| cpe:2.3:a:powerdns:authoritative:*:*:*:*:*:*:*:* | 4.0.0 (incluyendo) | 4.0.2 (excluyendo) |
| cpe:2.3:a:powerdns:recursor:*:*:*:*:*:*:*:* | 4.0.4 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página