Унаследованный баг в спецификации DNS-разрешения: как это повлияет на ваш интернет?

213

Критическая ошибка в спецификации DNSSEC (Domain Name System Security Extensions), названная Key Trap, выставляет DNS-резолверы по всему миру под угрозу атаки отказа в обслуживании.

Меньшая оценка CVSS 7,5 для CVE-2023-50387 не отменяет необходимость срочного патча.

Команда исследователей из центра кибербезопасности ATHENE в Германии обнаружила ошибку Key Trap в протоколе DNSSEC после того, как они разработали класс атак, который они назвали алгоритмическими атаками сложности.

“Они продемонстрировали, что только с помощью одного DNS-пакета атака может исчерпать процессор и блокировать все широко используемые реализации DNS и публичные провайдеры DNS, такие как Google Public DNS и Cloudflare”, – написали исследователи.

Исследователи не предоставили технических подробностей о KeyTrap, но они утверждают, что протокольная ошибка существует уже давно.

Баг был унаследован от устаревшего RFC 2535 в текущие спецификации RFC 6781 и RFC 6840.

Компания Microsoft выпустила патч для бага как часть Patch Tuesday, в версиях Windows Server, в том числе версиях начиная с 2012.

Linux-дистрибутивы унаследовали баг в своих серверах, поддерживающих DNSSEC, и будут патчены по мере появления патчей от разработчиков.

ATHENE также сообщает, что работает с основными поставщиками услуг, чтобы смягчить атаки, однако полное исправление потребует пересмотра протокола DNSSEC.
Оригинальная новость на сайте