Závažná zranitelnost v DNS službě

22. 2. 2024

Vážení zákazníci,

dovolte nám Vás informovat o bezpečnostní zranitelnosti, která byla nedávno objevena v procesu ověřování DNSSEC a která postihuje drtivou většinu DNS resolverů po celém světě. V případě cíleného útoku na DNS resolver může tato zranitelnost vést k přetížení CPU a výpadku DNS překladu.

Zranitelnost CVE-2023-50387, která se nyní nazývá KeyTrap, zneužívá samotný standard protokolu DNSSEC. Po resolverech vyžaduje, aby při ověřování domény vyzkoušely všechny klíče pro každou kombinaci podpisu a šifry. Ověřování každého z klíčů a podpisů může exponenciálně zvýšit zatížení procesoru a ten pak nebude schopen zpracovávat další dotazy. Další podrobnosti si můžete přečíst na blogu RIPE nebo v oficiální tiskové zprávě. Knot resolver již zapracoval opravu této zranitelnosti, kterou dnes vydáváme pro větev Latest. Hotfix pro větev Steady bude následovat nejbližších dnech. Doporučujeme upgradovat verzi resolveru co nejdříve, návod najdete v naší dokumentaci.

V případě dalších dotazů je vám náš tým k dispozici.

Dear Customers,

Please allow us to inform you about a security vulnerability that was recently discovered in the DNSSEC authentication process, which affects the vast majority of DNS resolvers worldwide. In the event of a targeted attack on a DNS resolver, this vulnerability can lead to CPU overload and DNS resolution failure.

The CVE-2023-50387 vulnerability, now called KeyTrap, exploits the DNSSEC protocol standard itself. It requires resolvers to try all keys for every combination of signature and cipher when authenticating a domain. Verifying each of the keys and signatures can exponentially increase the load on the CPU, which will then be unable to process further queries. You can read more details on the RIPE blog or in the official press release. The Knot resolver has already incorporated a fix for this vulnerability, which we are releasing today for the Latest branch. A hotfix for the Steady branch will follow in the coming days. We recommend upgrading your resolver version as soon as possible, please see our documentation for instructions.

If you have any further questions, our team is at your disposal.

Máte nějaké otázky? Napište nám.

Sdílejte novinku

Mohlo by vás zajímat

Aktualizace společných aktivit datové bezpečnosti 2017 – 2030

Threat Intelligence 1. Interní výzkum 2. Globální partnerství 3. Regionální partnerství Threat Intelligence Skutečný rozdíl v reálném čase Pokud lze současnou situaci v oblasti globálních kybernetických hrozeb definovat jedním slovem, pak je to slovo „rychlý“. Neustále se objevují nové hrozby, nové techniky a nové zranitelnosti. Abychom byli vždy o krok napřed před kyberzločinci, čelíme těmto […]

Informace o vývoji SOLEDPRO 2024 – 2028 v rámci ŘVH 30/7/2024

Prosíme zájemce o tyto interní informace o identifikaci – obratem obdržíte heslo

Czech