Dasjenige Bundesamt zu Händen Sicherheit in jener Informationstechnik (BSI) hat am 14.01.2025 ein Update zu einer am 22.09.2020 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen zu Händen PowerDNS veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme Linux und UNIX sowie die Produkte Ubuntu Linux, SUSE Linux, Gentoo Linux und Open Source PowerDNS.

Die neuesten Hersteller-Empfehlungen diesbezüglich Updates, Workarounds und Sicherheitspatches zu Händen sie Sicherheitslücke finden Sie hier: Ubuntu Security Notice USN-7203-1 (Stand: 14.01.2025). Weitere nützliche Quellen werden weiter unten in diesem Vorbehalt aufgeführt.

Mehrere Schwachstellen zu Händen PowerDNS – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Cousine Score: 9,8
CVSS Zeitlich Score: 8,5
Remoteangriff: Ja

Zur Ordnung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Welcher CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinauf Stützpunkt verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Zum Besten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Welcher Cousine Score bewertet die Voraussetzungen zu Händen verdongeln Überfall (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen darüber hinaus die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dasjenige Risiko jener hier behandelten Schwachstelle wird nachher dem CVSS mit einem Cousine Score von 9,8 denn „hoch“ eingeschätzt.

PowerDNS Programmierfehler: Zusammenfassung jener bekannten Schwachstellen

Welcher Domain Name Tafelgeschirr (DNS) ermöglicht die Umsetzung jener Domainnamen in IP-Adressen. Zur Verhinderung von übermäßigen Anfragen werden die Zuordnungen x-fach lokal in einem Puffer gespeichert.

Ein entfernter, authentisierter oder anonymer Angreifer kann mehrere Schwachstellen in PowerDNS ausnutzen, um Informationen offenzulegen, verdongeln Denial of Tafelgeschirr zu verursachen oder potenziell beliebigen Identifikator zur Erläuterung zu schaffen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2020-17482, CVE-2020-24696, CVE-2020-24697 und CVE-2020-24698 gehandelt.

Von jener PowerDNS-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, UNIX

Produkte
Ubuntu Linux (cpe:/o:canonical:ubuntu_linux)
SUSE Linux (cpe:/o:suse:suse_linux)
Gentoo Linux (cpe:/o:gentoo:linux)
Open Source PowerDNS <4.3.1 (cpe:/a:powerdns:authoritative)
Open Source PowerDNS 4.3.1 (cpe:/a:powerdns:authoritative)
Open Source PowerDNS <4.2.3 (cpe:/a:powerdns:authoritative)
Open Source PowerDNS 4.2.3 (cpe:/a:powerdns:authoritative)
Open Source PowerDNS <4.1.14 (cpe:/a:powerdns:authoritative)
Open Source PowerDNS 4.1.14 (cpe:/a:powerdns:authoritative)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Benutzer jener betroffenen Systeme sollten sie hinauf dem aktuellsten Stand halten. Hersteller sind im Kontext Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Stück aufgeführten Quellen. X-mal enthalten sie weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich im Kontext weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle Ergehen sich weiterführende Sinister mit Informationen darüber hinaus Programmierfehler-Reports, Security-Fixes und Workarounds.

Ubuntu Security Notice USN-7203-1 vom 2025-01-14 (14.01.2025)
Weitere Informationen finden Sie unter: https://ubuntu.com/security/notices/USN-7203-1

Gentoo Linux Security Advisory GLSA-202012-18 vom 2020-12-23 (23.12.2020)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202012-18

SUSE Security Update SUSE-SU-2020:2785-1 vom 2020-09-29 (29.09.2020)
Weitere Informationen finden Sie unter: http://lists.suse.com/pipermail/sle-security-updates/2020-September/007502.html

SUSE Security Update SUSE-SU-2020:2718-1 vom 2020-09-23 (23.09.2020)
Weitere Informationen finden Sie unter: http://lists.suse.com/pipermail/sle-security-updates/2020-September/007467.html

PowerDNS Security Advisory vom 2020-09-22 (22.09.2020)
Weitere Informationen finden Sie unter: https://docs.powerdns.com/authoritative/security-advisories/powerdns-advisory-2020-06.html

PowerDNS Security Advisory vom 2020-09-22 (22.09.2020)
Weitere Informationen finden Sie unter: https://docs.powerdns.com/authoritative/security-advisories/powerdns-advisory-2020-05.html

Versionshistorie dieser Sicherheitswarnung

Dies ist die 7. Version des vorliegenden IT-Sicherheitshinweises zu Händen PowerDNS. C/o Veröffentlichung weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

22.09.2020 – Initiale Steckdose
23.09.2020 – Neue Updates von SUSE aufgenommen
24.09.2020 – Verweis(en) aufgenommen: FEDORA-2020-7E9234058F
27.09.2020 – Verweis(en) aufgenommen: FEDORA-2020-7B1541266C
29.09.2020 – Neue Updates von SUSE aufgenommen
23.12.2020 – Neue Updates von Gentoo aufgenommen
14.01.2025 – Neue Updates von Ubuntu aufgenommen

+++ Redaktioneller Rauchsignal: Dieser Text wurde hinauf Stützpunkt aktueller BSI-Datenansammlung generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hinterher gehen Sie News.de schon im Kontext Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leitung zur Redaktion.
kns/roj/news.de