ProHoster > Blog > warta internét > Kerentanan KeyTrap sareng NSEC3 mangaruhan kalolobaan palaksanaan DNSSEC

Kerentanan KeyTrap sareng NSEC3 mangaruhan kalolobaan palaksanaan DNSSEC

Dua kerentanan parantos diidentifikasi dina sababaraha palaksanaan protokol DNSSEC, mangaruhan BIND, PowerDNS, dnsmasq, Knot Resolver, sareng Unbound DNS resolvers. Kerentanan tiasa nyababkeun panolakan jasa pikeun résolusi DNS anu ngalaksanakeun validasi DNSSEC ku nyababkeun beban CPU anu luhur anu ngaganggu ngolah patarosan anu sanés. Pikeun ngalaksanakeun serangan, cukup pikeun ngirim pamenta ka résolusi DNS nganggo DNSSEC, anu nuju nelepon ka zona DNS anu dirarancang khusus dina server panyerang.

Masalah anu diidentifikasi:

  • CVE-2023-50387 (codename KeyTrap) - Nalika ngaksés zona DNS anu dirancang khusus, éta nyababkeun panolakan jasa kusabab beban CPU anu signifikan sareng waktos palaksanaan cek DNSSEC anu panjang. Pikeun ngalaksanakeun serangan, perlu pikeun nempatkeun zona domain sareng setélan jahat dina server DNS anu dikawasa ku panyerang, sareng ogé pikeun mastikeun yén zona ieu diaksés ku pangladén DNS rekursif, panolakan jasa anu dipilarian ku panyerang. .

    Setélan jahat ngalibatkeun ngagunakeun kombinasi konci anu bertentangan, rékaman RRSET, sareng tanda tangan digital pikeun zona. Nyobian pikeun pariksa ngagunakeun konci ieu nyababkeun operasi anu nyéépkeun waktos, sumber daya-intensif anu lengkep tiasa ngamuat CPU sareng meungpeuk pamrosésan pamundut anu sanés (contona, diklaim yén dina serangan dina BIND mungkin pikeun ngeureunkeun pamrosésan. requests séjén pikeun 16 jam).

  • CVE-2023-50868 (codename NSEC3) mangrupikeun panolakan jasa kusabab komputasi anu signifikan dilakukeun nalika ngitung hashes dina rékaman NSEC3 (Next Secure v3) nalika ngolah réspon DNSSEC anu didamel khusus. Metoda serangan sarupa jeung kerentanan kahiji, iwal ti susunan husus NSEC3 RRSET rékaman dijieun dina server DNS panyerang urang.

Perhatikeun yén penampilan kerentanan anu disebatkeun di luhur disababkeun ku definisi dina spésifikasi DNSSEC ngeunaan kamampuan server DNS pikeun ngirim sadaya konci kriptografi anu sayogi, sedengkeun panyusun kedah ngolah konci anu ditampi dugi ka pamariksaan parantos suksés atanapi sadayana. konci narima geus diverifikasi.

Salaku ukuran pikeun meungpeuk kerentanan dina resolver, jumlah maksimum konci DNSSEC anu kalibet dina prosés ngawangun ranté kapercayaan sareng jumlah maksimum itungan hash pikeun NSEC3 diwatesan, sareng percobaan verifikasi deui pikeun unggal RRSET (kombinasi konci sareng tanda tangan) sareng unggal réspon diwatesan. sérver.

Karentanan-karentanan éta parantos dibenerkeun dina apdet ka Unbound (1.19.1), PowerDNS Recursor (4.8.6, 4.9.3, 5.0.2), Knot Resolver (5.7.1), dnsmasq (2.90), sareng BIND (9.16.48, 9.18.24, sareng 9.19.21). Status perbaikan karentanan dina distribusi ieu tiasa dipeunteun dina halaman-halaman ieu: Debian, Ubuntu, SUSE, RHEL, Fedora, Arch Linux, Gentoo, Slackware, NetBSD, sareng FreeBSD.

BIND DNS server versi 9.16.48, 9.18.24 sareng 9.19.21 ogé ngalereskeun sababaraha kerentanan:

  • CVE-2023-4408 Parsing pesen DNS ageung tiasa nyababkeun beban CPU anu luhur.
  • CVE-2023-5517 - Paménta pikeun zona ngabalikeun anu didamel khusus tiasa nyababkeun kacilakaan kusabab cek anu dipicu. Masalahna ngan muncul dina konfigurasi sareng setelan "nxdomain-redirect" diaktipkeun.
  • CVE-2023-5679 - Deteksi host recursive tiasa nyababkeun kacilakaan kusabab cek negeskeun dipicu dina sistem kalayan dukungan DNS64 sareng "ngalayanan basi" diaktipkeun (setelan, basi-cache-aktipkeun sareng basi-jawaban-aktipkeun).
  • CVE-2023-6516 Patarosan rekursif anu didamel khusus tiasa nyababkeun prosés ngaleungitkeun mémori anu sayogi pikeun aranjeunna.

sumber: opennet.ru

Mésér hosting anu dipercaya pikeun situs anu gaduh panyalindungan DDoS, server VPS VDS 🔥 Meser hosting situs wéb anu tiasa dipercaya nganggo panyalindungan DDoS, server VPS VDS | ProHoster