PowerDNS, DNSDIST yük dengeleyicisinde, uzak saldırganların kimlik doğrulaması olmadan hizmet saldırılarını reddetmesine izin verebilecek bir güvenlik açığını ele almak için kritik bir güvenlik güncellemesi yayınladı.
CVE-2025-30193 olarak izlenen sorun, 20 Mayıs 2025’te yayınlanan 1.9.10 sürümünde yamalandı.
Güvenlik araştırmacıları, DNSDIST kullanan kuruluşların potansiyel hizmet aksamalarını önlemek için bu güncellemeyi derhal uygulamaları gerektiği konusunda uyarıyor, çünkü güvenlik açığı hizmeti ezen belirli TCP bağlantıları hazırlanarak kullanılabilir.
.png
)
PowerDNS DNSDIST’teki yakın zamanda keşfedilen güvenlik açığı 1.9.10’dan önce tüm sürümleri etkiler ve DNS altyapısı için önemli bir güvenlik riski sunar.
Kusur, kimlik doğrulama kimlik bilgileri olmadan uzaktan saldırganların DNSDIST’in belirli TCP bağlantılarını nasıl ele aldığını kullanarak hizmet aksamalarına neden olmasına izin verir.
Güvenlik uzmanlarına göre, güvenlik açığı başlangıçta geliştirme ekibi güvenlik sonuçlarını doğrulmadan önce Powerdns’in genel IRC kanalı aracılığıyla bildirildi.
Teknik analiz, güvenlik açığının, kötü niyetli aktörlerin sunucu kaynaklarını tüketmek için sömürebileceği TCP bağlantı durumlarının yanlış kullanımı kaynaklandığını göstermektedir.
UDP trafiğini hedefleyen birçok DNS ile ilgili güvenlik açıkından farklı olarak, bu saldırı özellikle TCP bağlantı işleme mekanizmalarından yararlanır.
Sorun özellikle DNSDIST’i DNS altyapıları için bir ön uç yük dengeleyici olarak kullanan kuruluşlar içindir, çünkü başarılı bir sömürü DNS hizmetlerini tüm ağlarda bulunamaz hale getirebilir.
Azaltma stratejileri ve geçici çözümler
PowerDns, güvenlik açığını gidermek için kullanıcıların 1.9.10 sürümüne yükseltilmesini şiddetle tavsiye eder.
Hemen yükseltilemeyen kuruluşlar için şirket, riski azaltmak için geçici bir çözüm özetledi.
Yöneticiler, tek bir TCP bağlantısı üzerinden kabul edilen sorgu sayısını sınırlamak için SetMaxTCPQueriesPonnection Direktifini uygulayabilir.
“50’ye ayarlamak, testlerimizdeki performansı etkilemeyen güvenli bir seçimdir,” diyor Powerdns.
Bu yapılandırma değişikliği, normal DNS işlemlerini korurken saldırganların güvenlik açığından yararlanmasını etkili bir şekilde önler.
Güvenlik araştırmacıları, bu geçici çözüm geçici koruma sağlarken, kalıcı bir çözüm olarak düşünülmemesi gerektiğini ve yükseltmenin önerilen eylem yolu olmaya devam ettiğini vurgulamaktadır.
Güvenlik Geliştirmeleri ve Kullanılabilirliği
DNSDIST 1.9.10 sürümü, CVE-2025-30193 güvenlik açığının ötesinde birkaç önemli güvenlik düzeltmesi içerir.
Dikkate değer iyileştirmeler arasında proxy protokol özellikli giden TCP bağlantılarının sınırlandırılması, getAddressFo kullanırken hafıza bozulması sorunlarının düzeltilmesi, yalnızca mevcut olmayan TCP arka uçları için önbellek arama davranışının iyileştirilmesi ve freeBSD sistemlerindeki soket işlemesinin, herhangi birine bağlı soketlerden kaynak adreslerini geçmesi için geliştirilmesi yer alır.
Güncellenmiş yazılım artık birden fazla dağıtım kanalı aracılığıyla kullanılabilir.
Kullanıcılar, resmi Powerdns indirme web sitesinden sürüm tarballs ve imzaları indirebilir.
Desteklenen Linux dağıtımlarını kullananlar için, paket depoları yamalı sürümle güncellendi.
PowerDNS, kullanıcıları güncellemeyle karşılaşılan sorunları posta listesi veya GitHub sayfası aracılığıyla bildirmeye teşvik eder.
DNS yöneticileri bu güncellemeye öncelik vermelidir, çünkü araştırmacılar, kamu açıklaması ve hizmetin reddedilmesini tetiklemenin göreceli basitliği göz önüne alındığında, bu güvenlik açığını hedeflemenin hızlı bir şekilde ortaya çıkabileceği konusunda uyarırlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!