DNSSEC արձանագրության տարբեր իրականացումներում հայտնաբերվել են երկու խոցելիություններ, որոնք ազդում են BIND, PowerDNS, dnsmasq, Knot Resolver և Unbound DNS լուծիչների վրա: Խոցելիությունը կարող է առաջացնել ծառայության մերժում DNS լուծիչների համար, որոնք կատարում են DNSSEC վավերացում՝ առաջացնելով CPU-ի բարձր բեռ, որը խանգարում է այլ հարցումների մշակմանը: Հարձակում իրականացնելու համար բավական է հարցում ուղարկել DNS լուծիչին՝ օգտագործելով DNSSEC, ինչը հանգեցնում է հարձակվողի սերվերի հատուկ նախագծված DNS գոտի զանգի:
Հայտնաբերված խնդիրներ.
- CVE-2023-50387 (կոդային անունը KeyTrap) – Հատուկ նախագծված DNS գոտիներ մուտք գործելիս դա հանգեցնում է ծառայության մերժման՝ կապված պրոցեսորի զգալի ծանրաբեռնվածության և DNSSEC ստուգումների կատարման երկար ժամանակի հետ: Հարձակում իրականացնելու համար անհրաժեշտ է չարամիտ կարգավորումներով տիրույթի գոտի տեղադրել հարձակվողի կողմից վերահսկվող DNS սերվերի վրա, ինչպես նաև ապահովել, որ այս գոտի մուտք գործի ռեկուրսիվ DNS սերվեր, որի սպասարկման մերժումը հարձակվողը փնտրում է: .
Վնասակար կարգավորումները ներառում են գոտու համար հակասական ստեղների, RRSET գրառումների և թվային ստորագրությունների համակցում: Այս բանալիների օգտագործումը ստուգելու փորձը հանգեցնում է ժամանակատար, ռեսուրսների ինտենսիվ գործողությունների, որոնք կարող են ամբողջությամբ բեռնել պրոցեսորը և արգելափակել այլ հարցումների մշակումը (օրինակ, պնդում են, որ BIND-ի վրա հարձակման ժամանակ հնարավոր է եղել դադարեցնել մշակումը. այլ հարցումներ 16 ժամով):
- CVE-2023-50868 (կոդային անվանումը NSEC3) ծառայության մերժում է՝ NSEC3 (Next Secure v3) գրառումներում հեշերը հաշվարկելիս զգալի հաշվարկների պատճառով՝ հատուկ մշակված DNSSEC պատասխանները մշակելիս: Հարձակման մեթոդը նման է առաջին խոցելիությանը, բացառությամբ, որ հարձակվողի DNS սերվերի վրա ստեղծվում է NSEC3 RRSET գրառումների հատուկ մշակված հավաքածու:
Նշվում է, որ վերոհիշյալ խոցելիությունների ի հայտ գալը պայմանավորված է DNSSEC-ի հստակեցմամբ DNS սերվերի կողմից հասանելի բոլոր գաղտնագրային բանալիները ուղարկելու ունակության սահմանմամբ, մինչդեռ լուծողները պետք է մշակեն ստացված ստեղները մինչև ստուգումը հաջողությամբ ավարտվի կամ ամբողջը: ստացված բանալիները ստուգված են:
Որպես խոցելիության արգելափակման միջոցառումներ՝ լուծողները սահմանափակում են վստահության շղթայում ներգրավված DNSSEC ստեղների առավելագույն քանակը և NSEC3-ի համար հեշի հաշվարկների առավելագույն քանակը, ինչպես նաև սահմանափակում են ստուգման կրկնությունները յուրաքանչյուր RRSET-ի (բանալին-ստորագրության համակցություն) և յուրաքանչյուր սերվերի պատասխանի համար:
Խոցելիությունները ամրագրված են Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90) և BIND (9.16.48, 9.18.24) թարմացումներում: .9.19.21 և XNUMX): Բաշխումների խոցելիության կարգավիճակը կարելի է գնահատել այս էջերում՝ Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware, NetBSD, FreeBSD:
BIND DNS սերվերի 9.16.48, 9.18.24 և 9.19.21 տարբերակները լրացուցիչ ֆիքսել են ևս մի քանի խոցելիություն.
- CVE-2023-4408 Խոշոր DNS հաղորդագրությունների վերլուծությունը կարող է առաջացնել պրոցեսորի բարձր բեռ:
- CVE-2023-5517 - Հատուկ մշակված հակադարձ գոտու հարցումը կարող է հանգեցնել վթարի` հաստատման ստուգման գործարկման պատճառով: Խնդիրը հայտնվում է միայն «nxdomain-redirect» պարամետրով միացված կոնֆիգուրացիաներում:
- CVE-2023-5679 – Ռեկուրսիվ հոսթի հայտնաբերումը կարող է հանգեցնել խափանման՝ կապված DNS64-ի աջակցությամբ և «serve-dale» միացված համակարգերի վրա հաստատման ստուգման գործարկմամբ (կայանքներ, stale-cache-enable and stale-answer-enable):
- CVE-2023-6516 Հատուկ մշակված ռեկուրսիվ հարցումները կարող են հանգեցնել նրան, որ գործընթացը սպառի նրանց հասանելի հիշողությունը:
Source: opennet.ru