Elias Heftrig

**Nome do software vulnerável e versões afetadas** Versões do BIND anteriores à versão corrigida **Descrição** O problema está relacionado à implementação do DNSSEC no protocolo DNS, que pode ser explorada por invasores remotos para causar uma negação de serviço (consumo de CPU) por meio de uma ou mais respostas DNSSEC. Isso é conhecido como o problema “KeyTrap”. A especificação do protocolo implica que um algoritmo deve avaliar todas as combinações de registros DNSKEY e RRSIG, o que pode levar ao esgotamento da CPU quando há uma zona com muitos registros DNSKEY e RRSIG. O número estimado de dispositivos potencialmente afetados em todo o mundo não é especificado. No entanto, é mencionado que este problema pode potencialmente causar interrupções prolongadas na Internet ao enviar um único pacote malicioso que leva os servidores DNS a um loop sem saída. **Recomendações** Para resolver o problema, os usuários devem atualizar para uma versão do BIND que contenha a correção para essa vulnerabilidade. Como solução alternativa temporária, considere usar um resolvedor não validante para remover a vulnerabilidade, embora isso não seja recomendado. Restrinja o acesso ao módulo de validação DNSSEC vulnerável para minimizar o risco de exploração. Evite usar o `ValidatingResolver` para validação DNSSEC até que o problema seja resolvido.