PowerDNS, DNSDIST yazılımı için acil bir güvenlik danışmanlığı yayınladı ve kullanıcıları, saldırganların kusurlu DNS-HTTPS (DOH) değişimlerini kullanarak hizmet reddi (DOS) koşullarını tetiklemesine izin verebilecek kritik bir güvenlik açığının uyarı verdi.
CVE-2025-30194 (CVSS skoru: 7.5) olarak izlenen kusur, DOH trafiğini NGHTTP2 sağlayıcısı üzerinden işleyecek şekilde yapılandırıldığında DNSDIST sürümlerini 1.9.0 ila 1.9.8 etkiler.
Saldırganlar, özel olarak hazırlanmış DOH istekleri göndererek, hizmeti çarpan yasadışı bir bellek erişimini (çiftsiz) tetikleyerek hatayı kullanabilir.
.png
)
Güvenlik açığı sistem uzlaşmasına veya veri hırsızlığına izin vermezken, önemli operasyonel riskler oluşturmaktadır.
Kritik DNS çözümü için DNSDIST’e güvenen kuruluşlar, hizmetler manuel olarak geri yüklenene kadar uzun süreli kesintilerle karşılaşabilir.
| Alan | Detaylar |
| Güvenlik Açığı Kimliği | CVE-2025-30194 |
| Ürün | Powerdns dnsdist |
| Etkilenen sürümler | 1.9.0’a kadar 1.9.8 |
| Etkilenmedi | <1.9.0 ve 1.9.9+ |
| Şiddet | Yüksek |
| CVSS Puanı | 7.5 (Yalnızca NGHTTP2 DOH etkinleştirilmiş yapılandırmalar için) |
| Darbe | Uygulama kazası yoluyla Hizmet İndirimi (DOS) |
Powerdns, tüm kullanıcıları hemen yükseltmeye çağırarak kusuru ele almak için 1.9.9 sürümünü yayınladı.
Hemen yama yapamayanlar için, DOH konfigürasyonları için H2O sağlayıcısına geçmek geçici bir çözüm görevi görür.
Bir PowerDNS sözcüsü, “Bu sorun, DNS altyapısında proaktif güvenlik açığı yönetiminin önemini vurgulamaktadır” dedi. “Charles Howes’a bu kusuru sorumlu bir şekilde ifşa ettiği için övüyoruz.”
Anahtar Danışma Noktaları
- Etkilenen sürümler: DNSDIST 1.9.0 ila 1.9.8 (<1.9.0 ve ≥1.9.9 sürümleri etkilenmez).
- Darbe: Servis çökmesi yoluyla uzak DOS.
- Sömürülebilirlik: NGHTTP2 üzerinden etkinleştirilmiş DOH gerektirir; Kimlik doğrulamaya gerek yok.
- Çözüm: Yükseltme DNSDIST 1.9.9 veya H2O sağlayıcısına geçin.
Yaygın olarak kullanılan bir DNS yük dengeleyici ve koruyucusu olan DNSDIST, sorgu trafiğini yönetmede ve DDOS saldırılarını azaltmada kritik bir rol oynar.
Bu güvenlik açığı, yüksek performanslı ağ oluşturma araçlarında bellek yönetimi kusurlarının risklerinin altını çizmektedir.
Kullanıcılar için öneriler:
- Hemen yama: 1.9.9 güncellemesini Powerdns’in resmi deposundan uygulayın.
- Denetim Yapılandırmaları: DOH’un NGHTTP2 üzerinden etkin olup olmadığını doğrulayın.
- Trafiği izlemek: Olağandışı DOH aktivitesini tespit etmek için DNSDIST’in günlük kaydı özelliklerini kullanın.
Powerdns, aktif sömürü kanıtı doğrulamamıştır, ancak uyanıklık önermektedir.
Bu olay, açık kaynaklı altyapı projelerinde sağlam kod denetimi ihtiyacını vurgulayarak DNS tabakası güvenlik açıklarının artan bir eğilimini takip ediyor. Powerdns, benzer sorunları önlemek için tüylü test protokollerini geliştirmeyi taahhüt etti.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!