Schwerwiegende Sicherheitslücke im DNS-Dienst

22. 2. 2024

Sehr geehrte Kunden,

Gestatten Sie uns, Sie über eine Sicherheitslücke zu informieren, die kürzlich im DNSSEC-Verifizierungsprozess entdeckt wurde und die die überwiegende Mehrheit der DNS-Resolver weltweit betrifft. Bei einem gezielten Angriff auf den DNS-Resolver könnte diese Schwachstelle zu einer CPU-Überlastung führen DNS-Übersetzungsfehler.

Verletzlichkeit CVE-2023-50387, jetzt KeyTrap genannt, nutzt den DNSSEC-Protokollstandard selbst. Es erfordert, dass die Resolver bei der Validierung von Domänen alles ausprobieren Schlüssel für jede Kombination aus Signatur und Chiffre. Die Überprüfung aller Schlüssel und Signaturen kann die Belastung des Prozessors exponentiell erhöhen, und der Prozessor ist dann nicht mehr in der Lage, weitere Abfragen zu verarbeiten. Weitere Details können Sie unter lesen RIPE-Blog oder in offizieller Form Pressemitteilung. Knotenlöser bereits hat einen Fix für diese Schwachstelle implementiert, das wir heute für den neuesten Zweig veröffentlichen. Ein Hotfix für den Steady-Zweig folgt in den kommenden Tagen. Wir empfehlen, die Resolver-Version schnellstmöglich zu aktualisieren, Anweisungen finden Sie in unserem Dokumentation.

Bei weiteren Fragen steht Ihnen unser Team gerne zur Verfügung.

Dear Customers,

Please allow us to inform you about a security vulnerability that was recently discovered in the DNSSEC authentication process, which affects the vast majority of DNS resolvers worldwide. In the event of a targeted attack on a DNS resolver, this vulnerability can lead to CPU overload and DNS resolution failure.

The CVE-2023-50387 vulnerability, now called KeyTrap, exploits the DNSSEC protocol standard itself. It requires resolvers to try all keys for every combination of signature and cipher when authenticating a domain. Verifying each of the keys and signatures can exponentially increase the load on the CPU, which will then be unable to process further queries. You can read more details on the RIPE blog or in the official press release. The Knot resolver has already incorporated a fix for this vulnerability, which we are releasing today for the Latest branch. A hotfix for the Steady branch will follow in the coming days. We recommend upgrading your resolver version as soon as possible, please see our documentation for instructions.

If you have any further questions, our team is at your disposal.

Haben Sie irgendwelche Fragen? Schreiben Sie uns.

Teilen Sie die Neuigkeiten

Es könnte Sie interessieren

Aktualizace společných aktivit datové bezpečnosti 2017 – 2030

Threat Intelligence 1. Interní výzkum 2. Globální partnerství 3. Regionální partnerství Threat Intelligence Skutečný rozdíl v reálném čase Pokud lze současnou situaci v oblasti globálních kybernetických hrozeb definovat jedním slovem, pak je to slovo „rychlý“. Neustále se objevují nové hrozby, nové techniky a nové zranitelnosti. Abychom byli vždy o krok napřed před kyberzločinci, čelíme těmto […]

Informace o vývoji SOLEDPRO 2024 – 2028 v rámci ŘVH 30/7/2024

Prosíme zájemce o tyto interní informace o identifikaci – obratem obdržíte heslo

German