Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PowerDNS Recursor (CVE-2017-15090)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/01/2018
Última modificación:
09/10/2019

Descripción

Se ha descubierto un problema en el componente de validación DNSSEC de PowerDNS Recursor, desde la versión 4.0.0 hasta la versión 4.0.6, también incluida, en el que las firmas podrían haber sido aceptadas como válidas incluso aunque los datos firmados no estuvieran en el territorio del DNSKEY empleado para firmarlo. Esto permite que un atacante en posición Man-in-the-Middle (MitM) altere el contenido de los registros enviando una firma válida para los registros manipulados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:powerdns:recursor:*:*:*:*:*:*:*:* 4.0.0 (incluyendo) 4.0.6 (incluyendo)