Wnoelll

**Nome do Software Vulnerável e Versões Afetadas** CoreDNS versões anteriores a 1.14.3 **Descrição** As implementações de transporte gRPC, QUIC, DoH e DoH3 do CoreDNS lidam incorretamente com a autenticação TSIG (Transaction Signature), que é um mecanismo usado para autenticar mensagens DNS. Nos transportes gRPC e QUIC, o servidor verifica se o nome da chave TSIG existe na configuração, mas não chama a função `dns.TsigVerify()` para validar o HMAC (Hash-based Message Authentication Code). Consequentemente, qualquer solicitação com um nome de chave válido é tratada como autenticada, independentemente do valor do MAC. Nos transportes DoH e DoH3, o problema é mais crítico, pois o método `DoHWriter.TsigStatus()` retorna nil incondicionalmente e o servidor não inspeciona o registro TSIG. Isso permite que qualquer solicitação contendo um registro TSIG seja tratada como autenticada, mesmo com um nome de chave inválido e MAC arbitrário. Um invasor de rede não autenticado pode explorar essas falhas para ignorar funcionalidades protegidas por TSIG, como transferências de zona AXFR/IXFR, atualizações de DNS dinâmico ou outros comportamentos de plugins controlados por TSIG. A barreira de exploração é menor para DoH e DoH3, pois não é necessário um nome de chave válido. **Recomendações** Atualize para a versão 1.14.3. Como medida paliativa temporária, desative os listeners gRPC, QUIC, DoH e DoH3 onde a autenticação TSIG é necessária. Restrinja o acesso em nível de rede às portas de transporte afetadas apenas a fontes confiáveis.