Petr Špaček

## Relatório de vulnerabilidade **Nome do software vulnerável e versões afetadas** * BIND, versões 9.16.48-1 a 9.18.24-1 * Unbound, versão 1.19.1-alt1 * Versões 4.8.6-1 do PDNS Recursor * Versões 5.6.0-1+deb12u1 do Knot Resolver * systemd (versões afetadas não especificadas) * dnsmasq (versões afetadas não especificadas) * COBALT (versões afetadas não especificadas) **Descrição** Várias vulnerabilidades foram descobertas em diversas implementações de servidores DNS, incluindo BIND, Unbound, PDNS Recursor e Knot Resolver. Existe uma vulnerabilidade de negação de serviço (DoS) no BIND devido a uma falha no código de tratamento de consultas e a um problema de esgotamento da CPU relacionado a registros DNSSEC malformados. Uma vulnerabilidade semelhante de esgotamento da CPU afeta resolvedores que validam DNSSEC ao processar respostas DNSSEC especialmente criadas. Além disso, foram identificadas vulnerabilidades no systemd, dnsmasq e COBALT, embora os detalhes específicos sejam limitados. Existe uma vulnerabilidade divulgada publicamente (CVE-2023-50868) nos servidores DNS da Microsoft, afetando a validação DNSSEC. **Recomendações** * Atualize o BIND para a versão 9.16.48-1 ou 9.18.24-1. * Atualize o Unbound para a versão 1.19.1-alt1. * Atualize o PDNS Recursor para a versão 4.8.6-1. * Atualize o Knot Resolver para a versão 5.6.0-1+deb12u1. * Atualize o systemd para a versão mais recente disponível. * Atualize o dnsmasq para a versão mais recente disponível. * Atualize o COBALT para a versão mais recente disponível. * Para sistemas que utilizam validação DNSSEC, considere atualizar para um

**Nome do software vulnerável e versões afetadas** Versões do Knot Resolver anteriores à 5.1.1 **Descrição** A vulnerabilidade permite a amplificação de tráfego por meio de uma resposta DNS manipulada proveniente de um servidor controlado pelo invasor, também conhecida como vulnerabilidade “NXNS”. Isso é desencadeado por subdomínios aleatórios no campo NSDNAME dos registros NS. **Recomendações** Para versões anteriores à 5.1.1, atualize para a versão 5.1.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir respostas DNS de servidores desconhecidos ou não confiáveis para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: knot resolver versions prior to 4.1.0 Description: A vulnerability was discovered in the DNS resolver component that allows remote attackers to bypass DNSSEC validation for non-existence answers. Specifically, NXDOMAIN answers would get passed through to the client even if their DNSSEC validation failed, instead of sending a SERVFAIL packet. Caching is not affected by this bug. Recommendations: For versions prior to 4.1.0, update to version 4.1.0 or later to resolve the issue. As a temporary workaround, consider restricting the DNS resolver component to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** knot resolver versions prior to 4.1.0 **Description** A vulnerability was discovered in the DNS resolver of knot resolver, which allows remote attackers to downgrade DNSSEC-secure domains to a DNSSEC-insecure state. This opens the possibility of domain hijack using attacks against the insecure DNS protocol. The issue is due to insufficient input validation, enabling a remote attacker to convert a DNSSEC-secure domain to an insecure state. **Recommendations** For versions prior to 4.1.0, update to version 4.1.0 or later to resolve the issue. As a temporary workaround, consider restricting access to the DNS resolver to minimize the risk of exploitation.