PowerDNS Security Advisory 2026-04 for DNSdist: Multiple issues 漏洞概述 该安全公告针对 PowerDNS DNSdist 软件,披露了多个安全漏洞,主要涉及内部 Web 服务器的输入验证不足、资源耗尽、越界访问及内存分配问题。 影响范围 受影响版本:PowerDNS DNSdist 2.0.3 及更高版本,以及 1.9.12 及更高版本。 不受影响版本:PowerDNS DNSdist 1.9.13, 2.0.4。 修复方案 通用方案:升级至补丁版本(1.9.13, 2.0.4)。 特定配置建议: 禁用内部 Web 服务器(默认已禁用)。 限制内部 Web 服务器仅对受信任客户端开放。 禁用 DoQ 或 DoH3 连接。 禁用 DDR(Discovery of Designated Resolvers)。 避免使用 或 等 Lua 代码调用。 详细漏洞列表 1. CVE-2026-33257 & CVE-2026-33260: 内部 Web 服务器输入验证不足 描述:攻击者可通过发送特制的 HTTP 请求触发此问题,导致内部 Web 服务器无限内存分配,引发拒绝服务(DoS)。 风险:拒绝服务。 修复:升级补丁版本或禁止网络访问 Web 服务器。 2. CVE-2026-33254: 通过 DoQ/DoH3 连接导致资源耗尽 描述:攻击者可通过打开大量 DoQ 或 DoH3 连接,导致无限内存分配和拒绝服务。 风险:拒绝服务。 修复:升级补丁版本或禁用 DoQ 和 DoH3。 3. CVE-2026-33602: 处理特制 UDP 响应时的越界访问 描述:恶意后端可发送特制 UDP 响应,使查询 ID 偏离最大配置值 1,触发越界写入,导致拒绝服务。 风险:拒绝服务。 修复:升级补丁版本。 4. CVE-2026-33599: 服务发现中的越界读取 描述:恶意后端可发送特制 SVCB 响应,在通过 (Lua) 或 (YAML) 选项请求时,导致越界读取。 风险:拒绝服务。 修复:升级补丁版本或禁用 DDR。 5. CVE-2026-33598: 通过 Lua 进行缓存检查时的越界读取 描述:特制缓存响应可导致越界读取,前提是自定义 Lua 代码调用了 或 。 风险:拒绝服务。 修复:升级补丁版本或避免使用上述 Lua 函数。 6. CVE-2026-33597: PRSD 检测拒绝服务 描述:包含无效 DNS 标签的特制查询可阻止通过 或 执行的 PRSD 检测算法。 风险:拒绝服务。 修复:升级补丁版本。 7. CVE-2026-33596: TCP 后端流 ID 溢出 描述:客户端可通过发送完美定时的查询(路由到 TCP-only 或 DNS over TLS 后端),导致查询发送与响应接收之间的不匹配,引发溢出。 风险:拒绝服务。 修复:升级补丁版本。 8. CVE-2026-33595: DoQ/DoH3 过度内存分配 描述:客户端可通过在单个 DoQ 或 DoH3 连接上生成大量错误响应,触发过度内存分配,因为资源未在连接结束时正确释放。 风险:拒绝服务。 修复:升级补丁版本或禁用 DoQ 和 DoH3。 9. CVE-2026-33594: 出站 DoH 过度内存分配 描述:与 CVE-2026-33595 类似,涉及出站 DoH 连接的内存分配问题。 风险:拒绝服务。 修复:升级补丁版本。 (注:页面截图中未包含具体的 POC 代码或利用代码,仅提供了漏洞描述和修复建议。)