Duha ka kahuyangan ang nakit-an sa nagkalain-laing implementasyon sa DNSSEC protocol, nga nakaapekto sa mga DNS resolver nga BIND, PowerDNS, dnsmasq, Knot Resolver, ug Unbound. Kini nga mga kahuyangan nagtugot sa pagdumili sa serbisyo sa mga DNS resolver nga naghimo sa DNSSEC validation pinaagi sa paghimo og taas nga CPU load, nga makabalda sa pagproseso sa ubang mga pangutana. Aron mahimo ang pag-atake, ipadala lang ang usa ka pangutana ngadto sa usa ka DNSSEC-enabled DNS resolver nga moresulta sa usa ka hangyo ngadto sa usa ka espesyal nga gihimo nga DNS zone sa server sa tig-atake.
Giila ang mga isyu:
- CVE-2023-50387 (codename KeyTrap) – kon mo-access sa espesyal nga gihimo nga mga DNS zone, kini moresulta sa denial of service tungod sa dakong CPU load ug taas nga DNSSEC validation. Aron mahimo ang pag-atake, ang usa ka domain zone nga adunay malisyosong mga setting kinahanglan nga i-host sa usa ka attacker-controlled nga DNS server ug dayon ma-access sa usa ka recursive DNS server, nga dayon isalikway sa attacker ang serbisyo.
Ang mga malisyoso nga setting naglambigit sa paggamit og kombinasyon sa nagkasumpaki nga mga yawe, mga rekord sa RRSET, ug mga digital nga pirma para sa usa ka sona. Ang pagsulay sa pag-verify sa paggamit niini nga mga yawe moresulta sa taas, daghang gamit nga mga operasyon nga mahimong hingpit nga mag-overload sa CPU ug makababag sa pagproseso sa ubang mga hangyo (pananglitan, ang usa ka pag-atake sa BIND gikataho nga mipahunong sa pagproseso sa ubang mga hangyo sulod sa 16 ka oras).
- Ang CVE-2023-50868 (codename NSEC3) usa ka kahuyangan sa denial of service tungod sa dakong computational overhead sa pagkalkula sa mga hash sa mga rekord sa NSEC3 (Next Secure v3) sa pagproseso sa espesyal nga gihimo nga mga tubag sa DNSSEC. Ang pamaagi sa pag-atake susama sa unang kahuyangan, gawas nga ang usa ka espesyal nga gihimo nga set sa rekord sa NSEC3 RRSET gihimo sa DNS server sa tig-atake.
Namatikdan nga ang pagtungha sa nahisgutang mga kahuyangan gipahinabo sa depinisyon sa DNSSEC nga espesipikasyon sa abilidad sa usa ka DNS server sa pagpadala sa tanang magamit nga cryptographic keys, samtang ang mga resolver kinahanglan nga moproseso sa bisan unsang nadawat nga mga yawe hangtod nga ang pagsusi malampuson o ang tanang nadawat nga mga yawe mapamatud-an.
Isip mga lakang aron babagan ang mga kahuyangan sa mga resolver, ang pinakataas nga gidaghanon sa mga DNSSEC key nga nalambigit sa proseso sa pagtukod og chain of trust ug ang pinakataas nga gidaghanon sa mga hash calculations para sa NSEC3 limitado, ug ang mga retries sa verification para sa matag RRSET (kombinasyon sa mga key ug signatures) ug matag tubag limitado. server.
Ang mga kahuyangan giayo sa mga update sa Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90), ug BIND (9.16.48, 9.18.24, ug 9.19.21). Ang kahimtang sa mga pag-ayo sa kahuyangan niining mga distribusyon mahimong masusi niining mga panid: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware, NetBSD, FreeBSD.
Daghang dugang nga mga kahuyangan ang naayo sa mga bersyon sa BIND DNS server nga 9.16.48, 9.18.24, ug 9.19.21:
- CVE-2023-4408 - Ang pag-parse sa dagkong mga mensahe sa DNS mahimong moresulta sa taas nga CPU load.
- CVE-2023-5517 — Ang hangyo alang sa usa ka espesyal nga gihimo nga reverse zone mahimong moresulta sa usa ka pag-crash tungod sa usa ka assertion check. Ang isyu mahitabo lamang sa mga configuration nga naka-enable ang setting nga "nxdomain-redirect".
- CVE-2023-5679 – Ang recursive host resolution mahimong hinungdan sa pagka-crash tungod sa assertion check sa mga sistema nga adunay suporta sa DNS64 ug "serve-stale" nga naka-enable (mga setting, stale-cache-enable ug stale-answer-enable).
- CVE-2023-6516 – Ang espesyal nga gihimo nga mga recursive query mahimong hinungdan sa pagkahurot sa memorya sa usa ka proseso.
Source: opennet.ru
