DNSSEC ප්රොටෝකෝලයේ විවිධ ක්රියාත්මක කිරීම් වලදී අවදානම් දෙකක් හඳුනාගෙන ඇති අතර ඒවා DNS විසඳුම්කරුවන් වන BIND, PowerDNS, dnsmasq, Knot Resolver සහ Unbound වලට බලපායි. මෙම අවදානම් මඟින් ඉහළ CPU බරක් නිර්මාණය කිරීමෙන් DNSSEC වලංගුකරණය සිදු කරන DNS විසඳුම්කරුවන්ගේ සේවය ප්රතික්ෂේප කිරීමට ඉඩ සලසයි, එය අනෙකුත් විමසුම් සැකසීමට බාධා කරයි. ප්රහාරය සිදු කිරීම සඳහා, ප්රහාරකයාගේ සේවාදායකයේ විශේෂයෙන් නිර්මාණය කරන ලද DNS කලාපයකට ඉල්ලීමක් ලබා දෙන DNSSEC-සක්රීය DNS විසඳුම්කරුවෙකුට විමසුමක් යවන්න.
හඳුනාගත් ගැටළු:
- CVE-2023-50387 (කේත නාමය KeyTrap) – විශේෂයෙන් නිර්මාණය කරන ලද DNS කලාප වෙත ප්රවේශ වන විට, සැලකිය යුතු CPU පැටවීමක් සහ දිගු DNSSEC වලංගුකරණය හේතුවෙන් සේවා ප්රතික්ෂේප කිරීමක් සිදු කරයි. ප්රහාරය සිදු කිරීම සඳහා, අනිෂ්ට සැකසුම් සහිත වසම් කලාපයක් ප්රහාරකයා විසින් පාලනය කරනු ලබන DNS සේවාදායකයක සත්කාරකත්වය සැපයිය යුතු අතර පසුව පුනරාවර්තන DNS සේවාදායකයක් මඟින් ප්රවේශ විය යුතු අතර, ප්රහාරකයා පසුව සේවාව ප්රතික්ෂේප කරයි.
අනිෂ්ට සැකසුම් වලට කලාපයක් සඳහා ගැටුම්කාරී යතුරු, RRSET වාර්තා සහ ඩිජිටල් අත්සන් සංයෝජනයක් භාවිතා කිරීම ඇතුළත් වේ. මෙම යතුරු භාවිතයෙන් සත්යාපනය කිරීමට උත්සාහ කිරීමෙන් CPU සම්පූර්ණයෙන්ම අධි බර කර අනෙකුත් ඉල්ලීම් සැකසීම අවහිර කළ හැකි දිගු, සම්පත්-දැඩි මෙහෙයුම් සිදු වේ (නිදසුනක් ලෙස, BIND වෙත එල්ල වූ ප්රහාරයක් වාර්තා වන පරිදි අනෙකුත් ඉල්ලීම් සැකසීම පැය 16 ක් නතර විය).
- CVE-2023-50868 (කේත නාමය NSEC3) යනු විශේෂයෙන් සකස් කරන ලද DNSSEC ප්රතිචාර සැකසීමේදී NSEC3 (Next Secure v3) වාර්තාවල හැෂ් ගණනය කිරීමේදී සැලකිය යුතු පරිගණකමය උඩිස් බරක් හේතුවෙන් සේවා අවදානම ප්රතික්ෂේප කිරීමකි. ප්රහාරකයාගේ DNS සේවාදායකයේ විශේෂයෙන් සකස් කරන ලද NSEC3 RRSET වාර්තා කට්ටලයක් නිර්මාණය කිරීම හැර, ප්රහාරක ක්රමය පළමු අවදානමට සමාන වේ.
ඉහත සඳහන් කළ අවදානම් මතුවීමට හේතුව DNSSEC පිරිවිතරයේ ඇති සියලුම ගුප්ත ලේඛන යතුරු යැවීමට DNS සේවාදායකයකට ඇති හැකියාව පිළිබඳ අර්ථ දැක්වීම නිසා බව සටහන් වේ, නමුත් පරීක්ෂාව සාර්ථක වන තෙක් හෝ ලැබුණු සියලුම යතුරු සත්යාපනය කරන තෙක් විසඳුම්කරුවන් ඕනෑම ලැබුණු යතුරු සැකසිය යුතුය.
විසඳුම් වල අවදානම් අවහිර කිරීමේ පියවරක් ලෙස, විශ්වාස දාමයක් ගොඩනැගීමේ ක්රියාවලියට සම්බන්ධ වන උපරිම DNSSEC යතුරු ගණන සහ NSEC3 සඳහා උපරිම හැෂ් ගණනය කිරීම් ගණන සීමිත වන අතර, එක් එක් RRSET (යතුරු සහ අත්සන් සංයෝජනය) සහ එක් එක් ප්රතිචාරය සඳහා සත්යාපන නැවත උත්සාහ කිරීම සීමිත වේ. සේවාදායකය.
Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90), සහ BIND (9.16.48, 9.18.24, සහ 9.19.21) යාවත්කාලීන කිරීම් වලදී අවදානම් නිවැරදි කරන ලදී. මෙම බෙදාහැරීම්වල අවදානම් නිවැරදි කිරීම්වල තත්ත්වය මෙම පිටුවලින් තක්සේරු කළ හැකිය: Debian, Ubuntu, SUSE, RHEL, ෆෙඩෝරා, ආරුක්කු Linux, ජෙන්ටූ, ස්ලැක්වෙයාර්, නෙට්බීඑස්ඩී, ෆ්රීබීඑස්ඩී.
BIND DNS සේවාදායක අනුවාද 9.16.48, 9.18.24, සහ 9.19.21 හි අමතර අවදානම් කිහිපයක් නිවැරදි කර ඇත:
- CVE-2023-4408 - විශාල DNS පණිවිඩ විග්රහ කිරීමෙන් ඉහළ CPU පැටවීමක් සිදුවිය හැක.
- CVE-2023-5517 — විශේෂයෙන් සකස් කරන ලද ප්රතිලෝම කලාපයක් සඳහා කරන ලද ඉල්ලීමක් ප්රකාශන පරීක්ෂාවක් හේතුවෙන් බිඳ වැටීමකට හේතු විය හැක. ගැටළුව ඇති වන්නේ "nxdomain-redirect" සැකසුම සක්රීය කර ඇති වින්යාසයන් තුළ පමණි.
- CVE-2023-5679 – DNS64 සහය සහ "serve-stale" සක්රීය කර ඇති පද්ධතිවල ප්රකාශන පරීක්ෂාවක් හේතුවෙන් පුනරාවර්තන ධාරක විභේදනය බිඳ වැටීමකට හේතු විය හැක (සැකසීම්, stale-cache-enable සහ stale-answer-enable).
- CVE-2023-6516 – විශේෂයෙන් නිර්මාණය කරන ලද පුනරාවර්තන විමසුම් මඟින් ක්රියාවලියක් මතකය අවසන් විය හැක.
මූලාශ්රය: opennet.ru
