Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 6 reacties
Bron: PowerDNS

Het programma PowerDNS is een DNS server met een database als back-end waardoor het beheer van een groot aantal DNS entries op een gemakkelijke manier kan plaats vinden. De ontwikkelaars hebben eind april van dit jaar besloten om de twee delen waaruit PowerDNS bestaat, namelijk een recursor en een authoritative nameserver, apart uit te geven. Hierdoor kan men sneller een nieuwe versie uitbrengen, aldus de ontwikkelaars. Inmiddels is versie 3.1.4 van de PowerDNS recursor beschikbaar met de volgende aanpassingen:

This release contains almost no new features, but consists mostly of minor and major bug fixes. It also addresses two major security issues, which makes this release a highly recommended upgrade.

Security issues:
  • Large TCP questions followed by garbage could cause the recursor to crash. This critical security issue has been assigned CVE-2006-4251, and is fixed in commit 915. More information can be found in Section 1.5.
  • CNAME loops with zero second TTLs could cause crashes in some conditions. These loops could be constructed by malicious parties, making this issue a potential denial of service attack. This security issue has been assigned CVE-2006-4252 and is fixed by commit 919. More information can be found in Section 1.6. Many thanks to David Gavarret for helping pin down this problem.
Bugs:
  • On certain error conditions, PowerDNS would neglect to close a socket, which might therefore eventually run out. Spotted by Stefan Schmidt, fixed in commits 892, 897, 899.
  • Some nameservers (including PowerDNS in rare circumstances) emit a SOA record in the authority section. The recursor mistakenly interpreted this as an authoritative "NXRRSET". Spotted by Bryan Seitz, fixed in commit 893.
  • In some circumstances, PowerDNS could end up with a useless (not working, or no longer working) set of nameserver records for a domain. This release contains logic to invalidate such broken NSSETs, without overloading authoritative servers. This problem had previously been spotted by Bryan Seitz, 'Cerb' and Darren Gamble. Invalidations of NSSETs can be plotted using the "nsset-invalidations" metric, available through rec_control get. Implemented in commit 896 and commit 901.
  • PowerDNS could crash while dumping the cache using rec_control dump-cache. Reported by Wouter of WideXS and Stefan Schmidt and many others, fixed in commit 900.
  • Under rare circumstances (depleted TCP buffers), PowerDNS might send out incomplete questions to remote servers. Additionally, on big-endian systems (non-Intel and non-AMD generally), sending out large TCP answers questions would not work at all, and possibly crash. Brought to our attention by David Gavarret, fixed in commit 903.
  • The recursor contained the potential for a dead-lock processing an invalid domain name. It is not known how this might be triggered, but it has been observed by 'Cerb' on #powerdns. Several dead-locks where PowerDNS consumed all CPU, but did not answer questions, have been reported in the past few months. These might be fixed by commit 904.
  • IPv6 'allow-from' matching had problems with the least significant bits, sometimes allowing disallowed addresses, but mostly disallowing allowed addresses. Spotted by Wouter from WideXS, fixed in commit 916.
Improvements:
  • PowerDNS has support to drop answers from so called 'delegation only' zones. A statistic ("dlg-only-drops") is now available to plot how often this happens. Implemented in commit 890.
  • Hint-file parameter was mistakenly named "hints-file" in the documentation. Spotted by my Marco Davids, fixed in commit 898.
  • rec_control quit should be near instantaneous now, as it no longer meticulously cleans up memory before exiting. Problem spotted by Darren Gamble, fixed in commit 914, closing ticket 84.
  • init.d script no longer refers to the Recursor as the Authoritative Server. Spotted by Wouter of WideXS, fixed in commit 913.
  • A potentially serious warning for users of the GNU C Library version 2.5 was fixed. Spotted by Marcus Rueckert, fixed in commit 920.
[break]PowerDNS recursor 3.1.4 is in de volgende smaken binnen te halen:
* Source
* DEB AMD64
* DEB i386
* RPM x86-64
* RPM i386
Moderatie-faq Wijzig weergave

Reacties (6)

Weet iemand hoe het zit met de veiligheid van dit product? Is dat een beetje op het niveau van TinyDNS of moet ik dit product dan maar laten schieten?
Als je met TinyDNS nog gewoon uit de voeten kan heeft PowerDNS geen toegevoegde waarde.

Wij genereren gewoon (gewijzigde) bind zones elk uur vanuit een MySQL database. Werkt net zo goed. Als je vervolgens de zones op een tmpfs (ramdisk) partitie zet heb je een supersnelle dns server. Je kunt natuurlijk ook gewoon TinyDns files vanuit een database genereren.

PowerDNS (of eigenlijk de SQL backend) is gemakkelijk down te krijgen middels een DNS DDOS. Zeker als de server recursive lookups doet. Je bent dan redelijk snel door je maximum verbindingen heen.
Tsja, zo is elke publieke service die gebruik maakt van een database snel via een DDOS plat te krijgen. Beetje non argument dus.
Waarom is dat een non-argument? Het is juist een argument tegen elke publieke service die gebruik maakt van een database. Je moet hier altijd goed rekening mee houden bij het design van je netwerk/applicatie.
Daarbij komt dat dat goed te beveiligen is d.m.v. flood-control en caching.
Jongens, dit gaat over de recursor..heeft niets met SQL te maken.
dan gebruik je toch een andere backend (ldap, flatfile, zone, whatever).

Als pdns echt zo brak was zou bijvoorbeeld de .org TLD niet gebruik maken van powerdns.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True