Anat Bremler-Barr

**Nome do Software Vulnerável e Versões Afetadas** AMPHP (versões afetadas não especificadas) Apache Tomcat (versões afetadas não especificadas) Eclipse Foundation (versões afetadas não especificadas) F5 (versões afetadas não especificadas) Fastly (versões afetadas não especificadas) gRPC (versões afetadas não especificadas) Mozilla (versões afetadas não especificadas) Netty (versões afetadas não especificadas) Suse Linux (versões afetadas não especificadas) Varnish Cache (versões afetadas não especificadas) Wind River (versões afetadas não especificadas) Zephyr Project (versões afetadas não especificadas) **Description** Uma discrepância entre as especificações do HTTP/2 e as arquiteturas internas de algumas implementações leva a uma contabilização incorreta de fluxos. Ao abrir fluxos e disparar rapidamente o reset do servidor usando frames malformados ou erros de controle de fluxo, um invasor remoto pode causar o consumo excessivo de recursos do servidor. Isso ocorre porque os fluxos resetados pelo servidor são considerados fechados no nível do protocolo, embora o processamento do backend continue, permitindo que um cliente force o servidor a lidar com um número ilimitado de fluxos simultâneos em uma única conexão. Este problema, apelidado de MadeYouReset, pode ser usado para lançar ataques de negação de serviço (DoS) massivos e ignora as mitigações do Rapid Reset ao enganar o servidor para resetar seus próprios contadores de fluxo. O tráfego de ataque frequentemente se mistura ao tráfego legítimo, dificultando a detecção. **Recommendations** Atualize o Apache Tomcat para a versão corrigida mais recente. Atualize o F5 para a versão corrigida mais recente. Atualize o Fastly para a versão corrigida mais recente. Atualize o Varnish Cache para a versão corrigida mais recente. Implemente limitação de taxa (rate-limiting) e detecção de anomalias para identificar e bloquear padrões de tráfego HTTP/2 maliciosos. No momento, não há informações sobre uma versão mais recente que contenha a correção para AMPHP, Eclipse Foundation, gRPC, Mozilla, Netty, Suse Linux, Wind River e Zephyr Project.

Nome do Software Vulnerável e Versões Afetadas: Versões do Apache Tomcat 11.0.0-M1 até 11.0.9 Versões do Apache Tomcat 10.1.0-M1 até 10.1.43 Versões do Apache Tomcat 9.0.0.M1 até 9.0.107 Descrição: Uma falha no encerramento ou liberação de recursos no Apache Tomcat cria uma vulnerabilidade ao ataque "Made You Reset". Versões mais antigas, fora de suporte (end-of-life), também podem ser afetadas. Recomendações: Atualize para a versão 11.0.10 do Apache Tomcat. Atualize para a versão 10.1.44 do Apache Tomcat. Atualize para a versão 9.0.108 do Apache Tomcat.

**Nome do software vulnerável e versões afetadas** BIND 9, versões 9.0.0 a 9.16.45 BIND 9, versões 9.18.0 a 9.18.21 BIND 9, versões 9.19.0 a 9.19.19 Versões do BIND 9 de 9.9.3-S1 a 9.11.37-S1 Versões do BIND 9 de 9.16.8-S1 a 9.16.45-S1 Versões do BIND 9 de 9.18.11-S1 a 9.18.21-S1 **Descrição** O código de análise de mensagens DNS no `named` inclui uma seção cuja complexidade computacional é excessivamente alta. Isso não causa problemas para o tráfego DNS típico, mas consultas e respostas maliciosas podem causar carga excessiva na CPU da instância `named` afetada ao explorar essa falha. Esta vulnerabilidade afeta tanto servidores autoritativos quanto resolvedores recursivos. Um invasor remoto poderia explorar essa vulnerabilidade para provocar uma falha de asserção ao consultar zonas reversas RFC 1918. **Recomendações** Para as versões 9.0.0 a 9.16.45 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.18.0 a 9.18.21 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.19.0 a 9.19.19 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.9.3-S1 a 9.11.37-S1 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões do BIND 9 de 9.16.8-S1 a 9.16.45-S1, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões do BIND 9 de 9.18.11-S1 a 9.18.21-S1, atualize para uma versão fora desse intervalo para mitigar o risco. Como medida temporária

**Name of the Vulnerable Software and Affected Versions** BIND 9 versions 9.11.0 through 9.16.41 BIND 9 versions 9.18.0 through 9.18.15 BIND 9 versions 9.19.0 through 9.19.13 BIND 9 versions 9.11.3-S1 through 9.16.41-S1 BIND 9 versions 9.18.11-S1 through 9.18.15-S1 **Description** The effectiveness of the cache-cleaning algorithm used in `named` can be severely diminished by querying the resolver for specific RRsets in a certain order, effectively allowing the configured `max-cache-size` limit to be significantly exceeded. This can lead to a denial of service, caused by a flaw that allows the named's configured cache size limit to be significantly exceeded, potentially exhausting all memory on the host. **Recommendations** For BIND 9 versions 9.11.0 through 9.16.41, update to a version that includes a fix for this issue. For BIND 9 versions 9.18.0 through 9.18.15, update to a version that includes a fix for this issue. For BIND 9 versions 9.19.0 through 9.19.13, update to a version that includes a fix for this issue. For BIND 9 versions 9.11.3-S1 through 9.16.41-S1, update to a version that includes a fix for this issue. For BIND 9 versions 9.18.11-S1 through 9.18.15-S1, update to a version that includes a fix for this issue. As a temporary workaround, consider restricting access to the `named` instance to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Unbound anteriores à 1.16.3 **Descrição** O problema está relacionado a um ataque de delegação sem resposta (NRDelegation Attack) que afeta vários softwares de resolução de DNS, incluindo o Unbound. Esse ataque envolve uma delegação maliciosa com um número considerável de servidores de nomes que não respondem, fazendo com que o resolvedor gaste tempo e recursos significativos resolvendo registros sob o ponto de delegação malicioso. Embora o Unbound não sofra com alto uso de CPU, ele ainda requer recursos para resolver a delegação maliciosa, o que pode levar à degradação do desempenho e, potencialmente, a uma negação de serviço em ataques orquestrados. **Recomendações** Para versões do Unbound anteriores à 1.16.3, atualize para a versão 1.16.3 ou posterior, que introduz correções para melhorar o desempenho sob carga, reduzindo consultas oportunistas para descoberta de servidores de nomes e pré-busca de DNSKEY, e limitando o número de vezes que um ponto de delegação pode emitir uma consulta de cache para registros ausentes.

**Nome do software vulnerável e versões afetadas** Versões do BIND (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma falha no código do resolvedor do servidor DNS, que pode ser explorada inundando o resolvedor alvo com consultas, prejudicando significativamente seu desempenho e impedindo efetivamente que clientes legítimos tenham acesso ao serviço de resolução DNS. Isso pode levar a um ataque de negação de serviço (DoS). A vulnerabilidade está associada ao gerenciamento inadequado de recursos internos da aplicação ao lidar com grandes delegações. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PowerDNS Recursor, versões 4.1.0 a 4.3.0 **Descrição** A falha no protocolo DNS permite que agentes mal-intencionados utilizem serviços DNS recursivos para atacar servidores de nomes autoritativos de terceiros, resultando em desempenho reduzido. Isso é desencadeado por subdomínios aleatórios no campo NSDNAME dos registros NS. O ataque utiliza uma resposta forjada por um servidor de nomes autoritativo para amplificar o tráfego resultante entre o servidor recursivo e outros servidores de nomes autoritativos. **Recomendações** Para as versões 4.1.0 a 4.1.15 do PowerDNS Recursor, considere atualizar para a versão 4.1.16 para mitigar o impacto deste problema. Para as versões 4.2.0 a 4.2.1 do PowerDNS Recursor, considere atualizar para a versão 4.2.2 para mitigar o impacto deste problema. Para a versão 4.3.0 do PowerDNS Recursor, considere atualizar para a versão 4.3.1 para mitigar o impacto deste problema.

**Nome do software vulnerável e versões afetadas** Versões do BIND anteriores à versão corrigida Servidor DNS do Windows (versões afetadas não especificadas) PowerDNS Recursor (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de uma limitação eficaz do número de consultas realizadas durante o processamento de encaminhamentos, o que pode fazer com que um servidor recursivo emita um grande número de consultas. Isso pode levar à degradação do desempenho do servidor e ser potencialmente explorado em um ataque de reflexão com alto fator de amplificação. A vulnerabilidade pode ser explorada por um invasor remoto para provocar uma falha de asserção em tsig.c, causando uma negação de serviço. **Recomendações** Para o BIND, atualize para uma versão que inclua a correção para este problema. Para o Servidor DNS do Windows, aplique as medidas de mitigação propostas pelo fornecedor, conforme descrito no aviso de segurança ADV200009. Para o PowerDNS Recursor, siga as orientações fornecidas no aviso de segurança PowerDNS Advisory 2020-01. Como solução temporária, considere restringir o número de buscas realizadas ao processar referências para minimizar o risco de exploração. Restrinja o acesso à função vulnerável `tsig.c` para evitar falhas de asserção até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade para alguns dos softwares afetados.

**Nome do software vulnerável e versões afetadas** Versões do Unbound anteriores à 1.10.1 **Descrição** O problema está relacionado ao controle insuficiente do volume de mensagens de rede, também conhecido como problema “NXNSAttack”. Ele é desencadeado por subdomínios aleatórios no campo NSDNAME dos registros NS. **Recomendações** Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 ou posterior para resolver o problema.