Divergentdave

#19212de 53,633
13.9CVSS total
Vulnerabilidades · 2
Média
1
Alta
1
PT-2025-6078
7.1
2025-02-07
Unknown · Hickory Dns · CVE-2025-25188
**Name of the Vulnerable Software and Affected Versions** Hickory DNS versions 0.8.0 through 0.24.2 Hickory DNS versions 0.25.0-alpha.1 through 0.25.0-alpha.4 **Description** The issue is related to insufficient authentication of data in the `verify dnskey rrset()` function of the Hickory DNS client. This can allow a remote attacker to bypass security restrictions and gain unauthorized access to protected information. The DNSSEC validation routines treat entire RRsets of DNSKEY records as trusted once they have established trust in only one of the DNSKEYs. If a zone includes a DNSKEY with a public key that matches a configured trust anchor, all keys in that zone will be trusted to authenticate other records in the zone. There is also a variant of this issue involving DS records, where an authenticated DS record covering one DNSKEY leads to trust in signatures made by an unrelated DNSKEY in the same zone. **Recommendations** For Hickory DNS versions 0.8.0 through 0.24.2, update to version 0.24.3 or later. For Hickory DNS versions 0.25.0-alpha.1 through 0.25.0-alpha.4, update to version 0.25.0-alpha.5 or later. As a temporary workaround, consider restricting the use of the `verify dnskey rrset()` function until a patch is available. Restrict access to the DNSKEY records to minimize the risk of exploitation. Avoid using the `verify rrset with dnskey()` function with different keys and signatures until the issue is resolved.
PT-2024-19995
6.8
2024-01-23
Unknown · Trillium-Http · CVE-2024-23644
**Nome do software vulnerável e versões afetadas** Versões do trillium-http anteriores à 0.3.12 Versões do trillium-client anteriores à 0.5.4 **Descrição** A validação insuficiente dos valores dos cabeçalhos de saída pode levar a ataques de divisão de solicitação ou de resposta em cenários em que os invasores tenham controle suficiente sobre os cabeçalhos. Isso afeta apenas casos de uso em que os invasores têm controle sobre os cabeçalhos de solicitação e podem inserir sequências “r ”. Especificamente, se entradas não confiáveis e não validadas forem inseridas em nomes ou valores de cabeçalhos. Os valores de saída `trillium http::HeaderValue` e `trillium http::HeaderName` podem ser construídos de forma infalível e não eram verificados quanto a bytes ilegais ao enviar solicitações do cliente ou respostas do servidor. Assim, se um invasor tiver controle suficiente sobre os valores (ou nomes) dos cabeçalhos em uma solicitação ou resposta a ponto de poder injetar sequências `r `, ele poderá desincronizar o cliente e o servidor e, então, aproveitar a oportunidade para obter controle sobre outras partes das solicitações ou respostas. **Recomendações** Para versões do trillium-http anteriores à 0.3.12, atualize para a versão 0.3.12 ou posterior. Para versões do trillium-client anteriores à 0.5.4, atualize para a versão 0.5.4 ou posterior. Como solução temporária, os serviços e aplicativos clientes do Trillium devem sanitizar ou validar entradas não confiáveis incluídas nos valores e nomes dos cabeçalhos. Caracteres de retorno de carro, nova linha e nulo não são permitidos.