以下是关于PowerDNS Security Advisory 2026-09的简洁中文Markdown总结: --- 漏洞概述 PowerDNS发布安全公告2026-09,涉及多个DNSdist相关漏洞,包括拒绝服务、EDNS选项走私、内部Web服务器输入验证不足等。 --- 影响范围 受影响版本:PowerDNS DNSdist 2.0.6 和 1.9.14 不受影响版本:PowerDNS DNSdist 1.9.15 和 2.0.7 --- 修复方案 升级到补丁版本 禁用特定功能(如EDNS Client Subnet、DoH、IXFR等) 避免使用特定配置(如SetMacAddrAction) --- 漏洞详情 CVE-2026-40011: Prometheus拒绝服务 描述:通过发送大量构造的DNS查询,触发动态块插入,导致Prometheus端点被拒绝。 CVSS评分:3.7 修复建议:升级到补丁版本或禁用 或 。 CVE-2026-42004: EDNS选项走私 描述:发送构造的EDNS OPT记录,绕过DNSdist过滤规则,导致后端看到未过滤的EDNS选项。 CVSS评分:3.7 修复建议:升级到补丁版本,不依赖EDNS选项过滤或禁用EDNS Client Subnet插入。 CVE-2026-42005: 内部Web服务器输入验证不足 描述:发送导致无限内存分配的Web请求,引发拒绝服务。 CVSS评分:4.3 修复建议:升级到补丁版本,或限制内部Web服务器仅对可信客户端开放。 CVE-2026-40208: DoH查询拒绝服务 描述:通过发送无效的DATA帧DoH GET查询,延迟处理。 CVSS评分:3.7 修复建议:升级到补丁版本或禁用HTTP/3上的DNS。 CVE-2026-40209: IXFR查询拒绝服务 描述:通过发送构造的IXFR查询,导致后端TCP连接卡住,引发拒绝服务。 CVSS评分:5.3 修复建议:升级到补丁版本或阻止传入的IXFR查询。 CVE-2026-40210: SetMacAddrAction越界读取 描述:使用SetMacAddrAction时,可能导致未初始化内存发送,引发崩溃。 CVSS评分:4.8 修复建议:升级到补丁版本或禁用SetMacAddrAction。 CVE-2026-40211: 构造DoH查询拒绝服务 描述:发送构造的HTTP/3查询,触发异常,导致缓冲区释放问题,引发拒绝服务。 CVSS评分:5.3 修复建议:升级到补丁版本或禁用HTTP/3上的DNS。 --- 致谢 感谢以下研究人员报告漏洞: Haruki Oyama (Waseda University) Vitaly Simonovich Ilya Rozentsvaig yiwang613 Qifan Zhang (Palo Alto Networks) Mehtab Zafar --- 以上为PowerDNS Security Advisory 2026-09的关键信息总结。