Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0796 [1.01]

Debian verhelpt kwetsbaarheden in PowerDNS

26-09-2016 - Debian heeft meerdere kwetsbaarheden verholpen in PowerDNS.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Debian verhelpt kwetsbaarheden in PowerDNS
Advisory ID     : NCSC-2016-0796
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2016-5426, CVE-2016-5427, CVE-2016-6172
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
Uitgiftedatum   : 20160926
Toepassing      : pdns
Versie(s)       : < 3.4.1-4+deb8u6
Platform(s)     : Debian
                  OpenSUSE

Update
   OpenSUSE heeft updates uitgebracht om de kwetsbaarheden met CVE-ID 
   CVE-2016-5426 en CVE-2016-5427 te verhelpen. Zie "Mogelijke
   oplossingen" voor meer informatie.

Samenvatting
   Debian heeft meerdere kwetsbaarheden verholpen in PowerDNS.

Gevolgen
   Een ongeauthenticeerde kwaadwillende kan mogelijk op afstand een
   Denial-of-Service veroorzaken van een kwetsbare PowerDNS server.

Beschrijving
   - CVE-2016-5426, CVE-2016-5427:
   De PowerDNS Autoritatieve-server accepteert verzoeken met een
   qname-lengte langer dan 255 bytes. Daarnaast gaat het incorrect om
   met punten in labels. Deze kwetsbaarheden kunnen misbruikt worden
   voor het uitvoeren van een Denial-of-Service. Hiervoor dient de
   kwaadwillende een speciaal geconstrueerde query naar de kwetsbare
   server te versturen.
   
   - CVE-2016-6172:
   Door onvoldoende restrictie op de limietstelling van de zone-grootte
   is het mogelijk dat een secundaire PowerDNS-server crasht. Om deze
   kwetsbaarheid te misbruiken dient de kwaadwillende te beschikken
   over een malafide primaire DNS-server.

Mogelijke oplossingen
   -= Debian =-
   Debian heeft updates van pdns beschikbaar gesteld voor Debian 8.0
   (Jessie) om de kwetsbaarheden te verhelpen. U kunt de aangepaste
   packages installeren door gebruik te maken van 'apt-get update' en
   'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande
   pagina:
   
   https://www.debian.org/security/2016/dsa-3664
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheiden met CVE-ID  CVE-2016-5426 en CVE-2016-5427 te
   verhelpen in OpenSUSE 13.2 en Leap 42.1. U kunt deze aangepaste
   packages installeren door gebruik te maken van 'zypper'. U kunt ook
   gebruik maken van YAST of de updates handmatig downloaden van de
   SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie:
   
   https://lists.opensuse.org/opensuse-updates/2016-09/msg00074.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=/xPu
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017