Xiang Li

**Nome do Software Vulnerável e Versões Afetadas** versões anteriores à versão atualizada **Descrição** Um atacante que falsifica respostas para requisições com ECS habilitado enviadas pelo Recursor pode obter êxito. A versão atualizada inclui mitigações contra tentativas de falsificação de consultas com ECS habilitado, encadeando requisições com ECS habilitado e impondo uma validação mais rigorosa das respostas recebidas. A mitigação mais rigorosa é ativada quando a configuração `outgoing.edns subnet harden` está habilitada. **Recomendações** Atualize para a versão mais recente para aplicar as mitigações. Habilite a configuração `outgoing.edns subnet harden`.

**Nome do Software Vulnerável e Versões Afetadas** Unbound (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de envenenamento de cache que afeta múltiplos fornecedores, denominada 'Rebirthday Attack', foi descoberta em resolvedores de cache que suportam EDNS Client Subnet (ECS). O Unbound é vulnerável quando compilado com suporte a ECS (ou seja, '--enable-subnet') e configurado para enviar informações ECS para servidores de nomes upstream (ou seja, quando pelo menos uma das opções 'send-client-subnet', 'client-subnet-zone' ou 'client-subnet-always-forward' é utilizada). Isso permite que agentes maliciosos potencialmente correspondam aos IDs de transação DNS e armazenem respostas envenenadas em cache. **Recomendações** Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Technitium até a 11.0.2 **Descrição** Uma falha no modo de encaminhamento permite que invasores criem um loop de consultas usando os resolvedores do Technitium, lançando ataques de amplificação e potencialmente causando negação de serviço (DoS). **Recomendações** Para versões até 11.0.2, considere desativar o modo de encaminhamento como uma solução temporária para evitar ataques de loop de consulta até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do CoreDNS até a 1.10.1 **Descrição** Foi descoberta uma falha no software de resolução de DNS que faz com que um resolvedor ignore respostas válidas, causando assim uma negação de serviço na resolução normal. Em um ataque, o invasor poderia falsificar uma resposta direcionada à porta de origem de um resolvedor vulnerável sem a necessidade de adivinhar o TXID correto. **Recomendações** Para as versões do CoreDNS até a 1.10.1, atualize para uma versão posterior à 1.10.1 para resolver o problema. No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** CoreDNS versões 1.10.1 e anteriores **Descrição** A vulnerabilidade permite que invasores realizem envenenamento de cache DNS e injetem respostas falsas por meio de um ataque de aniversário, possibilitando-lhes manipular respostas DNS. **Recomendações** Para as versões 1.10.1 e anteriores do CoreDNS, atualize para uma versão posterior à 1.10.1 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Technitium até a 11.0.3 **Descrição** A vulnerabilidade permite que invasores realizem um ataque de envenenamento de cache DNS, possibilitando a injeção de respostas falsas em menos de 1 segundo. **Recomendações** Para versões até a 11.0.3, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de prevenir ataques de envenenamento de cache DNS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Technitium até a 11.0.2 **Descrição** Uma falha no software permite que invasores lancem ataques de amplificação, podendo causar negação de serviço (DoS) com um fator de amplificação três vezes maior do que em outros softwares, como o BIND. **Recomendações** Para versões até a 11.0.2, atualize para uma versão posterior à 11.0.2 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Unbound (versões afetadas não especificadas) **Descrição** O problema está relacionado ao protocolo DNS, que permite que invasores remotos provoquem uma negação de serviço ao fazer com que consultas DNS se acumulem por segundos, de modo que as respostas sejam enviadas posteriormente em uma rajada pulsante. Isso pode ser considerado amplificação de tráfego em alguns casos, também conhecida como o problema “DNSBomb”. O ataque funciona enviando um fluxo lento de solicitações DNS modificadas para servidores DNS, que retransmitem os dados, aumentando o tamanho do pacote e retendo-o para, então, liberar tudo de uma vez em uma rajada de tráfego DNS diretamente no alvo. O grupo de pesquisa afirma ter testado sua técnica em 10 dos principais programas de DNS e 46 serviços públicos de DNS e conseguiu lançar o DNSBomb a uma taxa de até 8,7 Gbit/s, com o tráfego de DNS aumentado em até 20.000 vezes seu tamanho original. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Windows (affected versions not specified) **Description** The issue is related to errors in the representation of information by the user interface in the Windows DNS service. This can allow a remote attacker to conduct spoofing attacks. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** c-ares versions prior to 1.19.1 **Description** The issue is related to a denial of service vulnerability in the c-ares library, which is an asynchronous resolver library. It occurs when a target resolver sends a query, and an attacker forges a malformed UDP packet with a length of 0, causing the target resolver to interpret the 0 length as a graceful shutdown of the connection. This can lead to a denial of service. **Recommendations** For versions prior to 1.19.1, update to version 1.19.1 to resolve the issue. As a temporary workaround, consider restricting the handling of UDP packets with a length of 0 to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** PowerDNS Recursor versions through 4.6.5 PowerDNS Recursor versions through 4.7.4 PowerDNS Recursor versions through 4.8.3 **Description** The issue is related to a denial of service vulnerability in PowerDNS Recursor, where authoritative servers can be marked as unavailable. This can be exploited by a remote attacker to cause a denial of service. **Recommendations** For PowerDNS Recursor versions through 4.6.5, update to a version later than 4.6.5 to resolve the issue. For PowerDNS Recursor versions through 4.7.4, update to a version later than 4.7.4 to resolve the issue. For PowerDNS Recursor versions through 4.8.3, update to a version later than 4.8.3 to resolve the issue. As a temporary workaround, consider restricting access to the PowerDNS Recursor service until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Knot Resolver versions prior to 5.6.0 **Description** The issue enables attackers to consume the resolver's resources, launching amplification attacks and potentially causing a denial of service. A single client query may lead to a hundred TCP connection attempts if a DNS server closes connections without providing a response. **Recommendations** For versions prior to 5.6.0, update to version 5.6.0 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Technitium DNS Server versions prior to 10.0 **Description** The issue allows a self-CNAME denial-of-service attack. This occurs when a CNAME loop causes an answer to contain hundreds of records. **Recommendations** For versions prior to 10.0, update to version 10.0 or later to resolve the issue.

**Nome do software vulnerável e versões afetadas** Servidor DNS Technitium versões 8.0.2 e anteriores **Descrição** Foi descoberta uma vulnerabilidade que permite a variante V2 da resolução não intencional de nomes de domínio. Um nome de domínio revogado pode continuar sendo resolvido por um longo período, incluindo domínios expirados e domínios maliciosos que foram retirados do ar. Os efeitos de uma exploração seriam generalizados e de grande impacto, pois a exploração está em conformidade com as especificações e práticas operacionais de fato do DNS e contorna os patches de mitigação atuais para nomes de domínio “fantasmas”. **Recomendações** Para as versões 8.0.2 e anteriores do Technitium DNS Server, atualize para uma versão posterior à 8.0.2 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Technitium DNS Server até a 8.0.2 **Descrição** Foi descoberta uma vulnerabilidade que permite a variante V1 da resolução indesejada de nomes de domínio. Um nome de domínio revogado pode permanecer resolvível por um longo período, incluindo domínios expirados e domínios maliciosos que foram retirados do ar. Os efeitos de uma exploração seriam generalizados e de grande impacto, pois a exploração está em conformidade com as especificações e práticas operacionais de fato do DNS e contorna os patches de mitigação atuais para nomes de domínio “fantasmas”. **Recomendações** Para as versões do Technitium DNS Server até a 8.0.2, atualize para uma versão que corrija esse problema para evitar a resolução indesejada de nomes de domínio. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** MaraDNS Deadwood versões 3.5.0021 e anteriores **Descrição** Uma falha no MaraDNS Deadwood permite a variante V1 da resolução indesejada de nomes de domínio. Isso significa que um nome de domínio revogado ainda pode ser resolvido por um longo período, incluindo domínios expirados e domínios maliciosos que foram retirados do ar. Os efeitos de uma exploração seriam generalizados e de grande impacto, pois ela está em conformidade com as especificações e práticas operacionais de fato do DNS e contorna os patches de mitigação atuais para nomes de domínio “fantasmas”. **Recomendações** Para as versões 3.5.0021 e anteriores do MaraDNS Deadwood, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** NLnet Labs Unbound versões 1.16.1 e anteriores **Descrição** O problema está relacionado a um novo tipo de ataque de “nomes de domínio fantasmas”, no qual uma instância do Unbound é alvo. O ataque funciona consultando o Unbound sobre um nome de domínio fraudulento quando as informações de delegação armazenadas em cache estão prestes a expirar. Um servidor de nomes malicioso atrasa a resposta, fazendo com que as informações de delegação armazenadas em cache expirem. Ao receber a resposta atrasada, o Unbound sobrescreve as entradas agora expiradas, permitindo que as informações de delegação maliciosas sejam constantemente atualizadas. **Recomendações** Atualize para a versão 1.16.2 ou posterior para corrigir o problema. Como solução alternativa temporária, considere restringir o acesso à instância do Unbound para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** NLnet Labs Unbound versões 1.16.1 e anteriores **Descrição** O problema está relacionado a um novo tipo de ataque de “nomes de domínio fantasmas”, no qual uma instância do Unbound é alvo. Esse ataque funciona consultando o Unbound sobre um subdomínio de um nome de domínio malicioso, fazendo com que o servidor de nomes malicioso retorne informações de delegação que atualizam o cache de delegação do Unbound. Esse processo pode ser repetido, mantendo um nome de domínio malicioso resolvível muito tempo após a revogação. A vulnerabilidade também é descrita como relacionada à validação insuficiente de entradas, o que pode permitir que um invasor remoto cause uma negação de serviço. **Recomendações** Para as versões 1.16.1 e anteriores do Unbound da NLnet Labs, atualize para a versão 1.16.2 para corrigir o problema e se proteger contra o ataque de “nomes de domínio fantasmas”. Essa atualização armazena a hora de início de uma consulta e usa essa informação para decidir se as informações de delegação armazenadas em cache podem ser sobrescritas, impedindo a exploração dessa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Technitium DNS Server <= 7.0 **Descrição** Existe uma vulnerabilidade na função de verificação de bailiwick que permite que usuários mal-intencionados específicos injetem registros `NS` de qualquer domínio no cache e realizem um ataque de envenenamento de cache DNS. **Recomendações** Para versões <= 7.0, atualize para uma versão que corrija o problema da função de verificação de bailiwick para evitar ataques de envenenamento de cache DNS. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Versões do OpenWrt 19.07.x a 19.07.6 Descrição: Um loop de roteamento pode ocorrer quando o IPv6 é utilizado, gerando tráfego de rede excessivo entre um dispositivo afetado e o roteador do seu provedor de internet (ISP) upstream. Isso ocorre quando uma rota de prefixo de link aponta para um link ponto a ponto, um endereço IPv6 de destino pertence ao prefixo e não é um endereço IPv6 local, e um anúncio de roteador é recebido com pelo menos um prefixo IPv6 global único para o qual o sinalizador on-link está definido. Os pacotes netifd e odhcp6c são afetados. Recomendações: Para as versões 19.07.x a 19.07.6 do OpenWrt, atualize para a versão 19.07.7 ou posterior para resolver o problema. Como solução temporária, considere desativar o IPv6 até que um patch esteja disponível. Restrinja o acesso aos pacotes netifd e odhcp6c para minimizar o risco de exploração. Evite usar rotas de prefixo IPv6 que apontem para links ponto a ponto até que o problema seja resolvido.