Lior Shafir

**Nome do software vulnerável e versões afetadas** PowerDNS Recursor, versões 4.1.0 a 4.3.0 **Descrição** A falha no protocolo DNS permite que agentes mal-intencionados utilizem serviços DNS recursivos para atacar servidores de nomes autoritativos de terceiros, resultando em desempenho reduzido. Isso é desencadeado por subdomínios aleatórios no campo NSDNAME dos registros NS. O ataque utiliza uma resposta forjada por um servidor de nomes autoritativo para amplificar o tráfego resultante entre o servidor recursivo e outros servidores de nomes autoritativos. **Recomendações** Para as versões 4.1.0 a 4.1.15 do PowerDNS Recursor, considere atualizar para a versão 4.1.16 para mitigar o impacto deste problema. Para as versões 4.2.0 a 4.2.1 do PowerDNS Recursor, considere atualizar para a versão 4.2.2 para mitigar o impacto deste problema. Para a versão 4.3.0 do PowerDNS Recursor, considere atualizar para a versão 4.3.1 para mitigar o impacto deste problema.

**Nome do software vulnerável e versões afetadas** Versões do Unbound anteriores à 1.10.1 **Descrição** O problema está relacionado ao controle insuficiente do volume de mensagens de rede, também conhecido como problema “NXNSAttack”. Ele é desencadeado por subdomínios aleatórios no campo NSDNAME dos registros NS. **Recomendações** Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do BIND anteriores à versão corrigida Servidor DNS do Windows (versões afetadas não especificadas) PowerDNS Recursor (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de uma limitação eficaz do número de consultas realizadas durante o processamento de encaminhamentos, o que pode fazer com que um servidor recursivo emita um grande número de consultas. Isso pode levar à degradação do desempenho do servidor e ser potencialmente explorado em um ataque de reflexão com alto fator de amplificação. A vulnerabilidade pode ser explorada por um invasor remoto para provocar uma falha de asserção em tsig.c, causando uma negação de serviço. **Recomendações** Para o BIND, atualize para uma versão que inclua a correção para este problema. Para o Servidor DNS do Windows, aplique as medidas de mitigação propostas pelo fornecedor, conforme descrito no aviso de segurança ADV200009. Para o PowerDNS Recursor, siga as orientações fornecidas no aviso de segurança PowerDNS Advisory 2020-01. Como solução temporária, considere restringir o número de buscas realizadas ao processar referências para minimizar o risco de exploração. Restrinja o acesso à função vulnerável `tsig.c` para evitar falhas de asserção até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade para alguns dos softwares afetados.