Software-update - PowerDNS Recursor 5.1.8 /5.2.6 / 5.3.1

In dit artikel:

PowerDNS heeft op 15 oktober 2025 beveiligingsupdates uitgebracht voor zijn Recursor: versies 5.1.8, 5.2.6 en 5.3.1. De patches verhelpen twee kwetsbaarheden (CVE-2025-59023 en CVE-2025-59024) waarbij gemanipuleerde delegaties of vervalste IP-fragmenten de cached delegations van de Recursor kunnen vervuilen. Dit kan leiden tot foutieve DNS-antwoorden (cache pollution), maar volgens de ontwikkelaars is er geen risico dat systemen direct worden overgenomen.

Welke versies zijn getroffen en welke niet
- Gevaarde releases: Recursor tot en met 5.1.7, 5.2.5 en 5.3.0.
- Gepatchte releases: 5.1.8 (volledige backport van strengere validatie), 5.2.6 en 5.3.1 (verdere aanscherping van bestaande controles).
- CVSS-scores: CVE-2025-59023 (hoog, 8.2), CVE-2025-59024 (medium, 6.5).

Wat er misging en hoe het is opgelost
De recursor controleerde ontvangen delegatie-informatie niet streng genoeg, waardoor een aanvaller met gespoofde packets of via UDP-fragmentatie vervuilde delegaties in de cache kon introduceren. De updates voeren striktere validatie in van delegatiegegevens afkomstig van authoritative servers, waardoor zulke pogingen worden geblokkeerd.

Aanbeveling en beschikbaarheid
PowerDNS adviseert direct te upgraden naar een van de gepatchte versies. De tarballs en ondertekende bestanden zijn beschikbaar via de downloadserver en er zijn pakketten voor meerdere distributies in de repository. Ook meldt PowerDNS dat andere leveranciers waarschijnlijk vergelijkbare fixes uitbrengen.

Aanvullende informatie
De ontwikkelaars wijzen op changelogs voor detailinformatie en vragen gebruikers feedback via de mailinglijst of GitHub als men bugs tegenkomt. Daarnaast is het Open Source End-of-Life-beleid aangepast: oudere releasetrains worden nog één jaar ondersteund na de volgende major release.

Kort: upgrade de Recursor-installaties zo snel mogelijk naar 5.1.8, 5.2.6 of 5.3.1 om cache-poisoning via gemanipuleerde delegaties of IP-fragmenten te voorkomen.