Chaidh dà chugallachd a chomharrachadh ann an diofar chuir an gnìomh protocol DNSSEC, a 'toirt buaidh air luchd-rèiteachaidh BIND, PowerDNS, dnsmasq, Knot Resolver, agus DNS gun cheangal. Dh’ fhaodadh na so-leòntachd seirbheis a dhiùltadh dha luchd-rèiteachaidh DNS a bhios a’ coileanadh dearbhadh DNSSEC le bhith ag adhbhrachadh eallach àrd CPU a chuireas bacadh air a bhith a’ giullachd cheistean eile. Gus ionnsaigh a dhèanamh, tha e gu leòr iarrtas a chuir gu neach-rèiteachaidh DNS a ’cleachdadh DNSSEC, a tha a’ leantainn gu gairm gu sòn DNS a chaidh a dhealbhadh gu sònraichte air frithealaiche an neach-ionnsaigh.
Cùisean air an comharrachadh:
- CVE-2023-50387 (codename KeyTrap) - Nuair a gheibh thu cothrom air sònaichean DNS a chaidh an dealbhadh gu sònraichte, bidh e a’ leantainn gu diùltadh seirbheis mar thoradh air an luchd CPU mòr agus ùine cur an gnìomh fada de sgrùdaidhean DNSSEC. Gus ionnsaigh a dhèanamh, feumar sòn fearainn le suidheachaidhean droch-rùnach a chuir air frithealaiche DNS a tha fo smachd an neach-ionnsaigh, agus cuideachd dèanamh cinnteach gu faighear a-steach don raon seo le frithealaiche DNS ath-chuairteach, diùltadh seirbheis a tha an neach-ionnsaigh a ’sireadh. .
Tha suidheachaidhean droch-rùnach a’ toirt a-steach a bhith a’ cleachdadh measgachadh de dh’ iuchraichean connspaideach, clàran RRSET, agus ainmean didseatach airson sòn. Le bhith a’ feuchainn ri dearbhadh le bhith a’ cleachdadh na h-iuchraichean sin thig obraichean a tha a’ caitheamh ùine, a tha dian air goireasan a dh’ fhaodas an CPU a luchdachadh gu tur agus casg a chuir air giullachd iarrtasan eile (mar eisimpleir, thathas ag agairt ann an ionnsaigh air BIND gun robh e comasach stad a chuir air giullachd. iarrtasan eile airson 16 uairean).
- Tha CVE-2023-50868 (codename NSEC3) na àicheadh seirbheis air sgàth gu bheil àireamhachadh mòr ga dhèanamh nuair a thathar a’ tomhas hashes ann an clàran NSEC3 (Next Secure v3) nuair a thathar a’ giullachd fhreagairtean DNSSEC sònraichte. Tha an dòigh ionnsaigh coltach ris a 'chiad so-leòntachd, ach a-mhàin gu bheil seata sònraichte de chlàran NSEC3 RRSET air a chruthachadh air frithealaiche DNS an neach-ionnsaigh.
Tha e air a thoirt fa-near gu bheil coltas nan so-leòntachd gu h-àrd air adhbhrachadh leis a’ mhìneachadh ann an sònrachadh DNSSEC air comas an t-seirbheisiche DNS na h-iuchraichean criptografach uile a tha rim faighinn a chuir, fhad ‘s a dh’ fheumas luchd-rèiteachaidh iuchraichean sam bith a gheibhear a phròiseasadh gus an tèid an t-seic a chrìochnachadh gu soirbheachail no gu h-iomlan. chaidh na h-iuchraichean a fhuaireadh a dhearbhadh.
Mar cheumannan gus so-leòntachd a bhacadh, bidh luchd-rèiteachaidh a’ cuingealachadh an àireamh as motha de iuchraichean DNSSEC a tha an sàs sa phròiseas sèine earbsa agus an àireamh as motha de àireamhachadh hash airson NSEC3, agus cuideachd a’ cuingealachadh ath-sgrùdaidhean dearbhaidh airson gach RRSET (measgachadh prìomh-ainm-sgrìobhte) agus gach freagairt frithealaiche.
Tha na so-leòntachd stèidhichte ann an ùrachaidhean gu Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90) agus BIND (9.16.48, 9.18.24). .9.19.21 agus XNUMX). Faodar inbhe so-leòntachd ann an sgaoilidhean a mheasadh air na duilleagan seo: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware, NetBSD, FreeBSD.
Shuidhich dreachan frithealaiche BIND DNS 9.16.48, 9.18.24 agus 9.19.21 grunn so-leòntachd a bharrachd:
- CVE-2023-4408 Le bhith a’ parsadh teachdaireachdan DNS mòra faodaidh luchd àrd CPU adhbhrachadh.
- CVE-2023-5517 - Faodaidh iarrtas airson sòn cùil a chaidh a dhealbhadh gu sònraichte tubaist adhbhrachadh mar thoradh air sgrùdadh dearbhaidh. Chan eil an duilgheadas a’ nochdadh ach ann an rèiteachaidhean leis an t-suidheachadh “nxdomain-redirect” air a chomasachadh.
- CVE-2023-5679 - Faodaidh lorg aoigheachd ath-chuairteach tubaist adhbhrachadh mar thoradh air sgrùdadh dearbhte a bhith air a phiobrachadh air siostaman le taic DNS64 agus “serve-stale” air a chomasachadh (suidheachaidhean, stale-cache-enable agus stale-freagair-comas).
- CVE-2023-6516 Faodaidh ceistean ath-chuairteachaidh sònraichte a bhith ag adhbhrachadh gum bi am pròiseas a’ cuir às don chuimhne a tha ri fhaighinn dhaibh.
Source: fosgailtenet.ru