CVSS: 4.3EPSS: 0%CPEs: 7EXPL: 0CVE-2019-10163
https://notcve.org/view.php?id=CVE-2019-10163
A Vulnerability has been found in PowerDNS Authoritative Server before versions 4.1.9, 4.0.8 allowing a remote, authorized master server to cause a high CPU load or even prevent any further updates to any slave zone by sending a large number of NOTIFY messages. Note that only servers configured as slaves are affected by this issue. Se ha detectado una vulnerabilidad en Authoritative Server de PowerDNS anterior a versiones 4.1.9, 4.0.8, que permite a un servidor maestro autorizado y remoto causar una alta carga de CPU o incluso impedir actualizaciones adicionales a cualquier zona esclava mediante el envío de una gran cantidad de mensajes de NOTIFICACIÓN. Note que solo los servidores configurados como esclavos están afectados por este problema. • http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00036.html http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00054.html https://blog.powerdns.com/2019/06/21/powerdns-authoritative-server-4-0-8-and-4-1-10-released https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10163 https://doc.powerdns.com/authoritative/security-advisories/powerdns-advisory-2019-05.html • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-10851
https://notcve.org/view.php?id=CVE-2018-10851
PowerDNS Authoritative Server 3.3.0 up to 4.1.4 excluding 4.1.5 and 4.0.6, and PowerDNS Recursor 3.2 up to 4.1.4 excluding 4.1.5 and 4.0.9, are vulnerable to a memory leak while parsing malformed records that can lead to remote denial of service. PowerDNS Authoritative Server desde la versión 3.3.0 hasta la 4.1.4 excluyendo las versiones 4.1.5 y 4.0.6, y PowerDNS Recursor desde la versión 3.2 hasta la 4.1.4 excluyendo las versiones 4.1.5 y 4.0.9, son vulnerables a una fuga de memoria cuando se analizan registros mal formados que pueden conducir a una denegación de servicio (DoS) remota. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10851 https://doc.powerdns.com/authoritative/security-advisories/powerdns-advisory-2018-03.html https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2018-04.html • CWE-400: Uncontrolled Resource Consumption CWE-772: Missing Release of Resource after Effective Lifetime •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-14626
https://notcve.org/view.php?id=CVE-2018-14626
PowerDNS Authoritative Server 4.1.0 up to 4.1.4 inclusive and PowerDNS Recursor 4.0.0 up to 4.1.4 inclusive are vulnerable to a packet cache pollution via crafted query that can lead to denial of service. PowerDNS Authoritative Server desde la versión 4.1.0 hasta la 4.1.4 y PowerDNS Recursor desde la versión 4.0.0 hasta la 4.1.4, son vulnerables a una contaminación de memora caché de paquetes mediante una consulta manipulada que puede provocar una denegación de servicio (DoS). • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-14626 https://doc.powerdns.com/authoritative/security-advisories/powerdns-advisory-2018-05.html https://doc.powerdns.com/recursor/security-advisories/powerdns-advisory-2018-06.html • CWE-400: Uncontrolled Resource Consumption •
CVSS: 7.1EPSS: 0%CPEs: 2EXPL: 0CVE-2017-15091
https://notcve.org/view.php?id=CVE-2017-15091
An issue has been found in the API component of PowerDNS Authoritative 4.x up to and including 4.0.4 and 3.x up to and including 3.4.11, where some operations that have an impact on the state of the server are still allowed even though the API has been configured as read-only via the api-readonly keyword. This missing check allows an attacker with valid API credentials to flush the cache, trigger a zone transfer or send a NOTIFY. Se ha descubierto un problema en el componente API de PowerDNS Authoritative 4.x hasta e incluyendo la versión 4.0.4 y en versiones 3.x hasta la 3.4.11, también incluida, donde algunas operaciones que provocan un impacto en el estado del servidor siguen estando permitidas incluso aunque la API se haya configurado como solo lectura por medio de la palabra clave api-readonly. Esta falta de comprobación permite que un atacante con credenciales API válidas vacíe la caché, desencadene una trasferencia de zona o envíe un NOTIFY. • http://www.securityfocus.com/bid/101982 https://doc.powerdns.com/authoritative/security-advisories/powerdns-advisory-2017-04.html • CWE-358: Improperly Implemented Security Check for Standard CWE-863: Incorrect Authorization •
CVSS: 7.8EPSS: 0%CPEs: 5EXPL: 0CVE-2016-7068
https://notcve.org/view.php?id=CVE-2016-7068
An issue has been found in PowerDNS before 3.4.11 and 4.0.2, and PowerDNS recursor before 3.7.4 and 4.0.4, allowing a remote, unauthenticated attacker to cause an abnormal CPU usage load on the PowerDNS server by sending crafted DNS queries, which might result in a partial denial of service if the system becomes overloaded. This issue is based on the fact that the PowerDNS server parses all records present in a query regardless of whether they are needed or even legitimate. A specially crafted query containing a large number of records can be used to take advantage of that behaviour. Se ha descubierto un problema en PowerDNS en versiones anteriores a la 3.4.11 y 4.0.2, y PowerDNS recursor en versiones anteriores a la 3.7.4 y 4.0.4, que permite que un atacante no autenticado remoto provoque una carga de uso de CPU anormal en el servidor de PowerDNS mediante el envío de consultas DNS manipuladas, lo que podría resultar en una denegación de servicio (DoS) parcial si el sistema se sobrecarga. Este problema se basa en el hecho de que el servidor de PowerDNS analiza todos los registros presentes en una consulta, independientemente de si se necesitan o incluso si son legítimos. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-7068 https://doc.powerdns.com/md/security/powerdns-advisory-2016-02 https://www.debian.org/security/2017/dsa-3763 https://www.debian.org/security/2017/dsa-3764 • CWE-20: Improper Input Validation CWE-400: Uncontrolled Resource Consumption •