Yehuda Afek

**Nome do software vulnerável e versões afetadas** BIND 9, versões 9.0.0 a 9.16.45 BIND 9, versões 9.18.0 a 9.18.21 BIND 9, versões 9.19.0 a 9.19.19 Versões do BIND 9 de 9.9.3-S1 a 9.11.37-S1 Versões do BIND 9 de 9.16.8-S1 a 9.16.45-S1 Versões do BIND 9 de 9.18.11-S1 a 9.18.21-S1 **Descrição** O código de análise de mensagens DNS no `named` inclui uma seção cuja complexidade computacional é excessivamente alta. Isso não causa problemas para o tráfego DNS típico, mas consultas e respostas maliciosas podem causar carga excessiva na CPU da instância `named` afetada ao explorar essa falha. Esta vulnerabilidade afeta tanto servidores autoritativos quanto resolvedores recursivos. Um invasor remoto poderia explorar essa vulnerabilidade para provocar uma falha de asserção ao consultar zonas reversas RFC 1918. **Recomendações** Para as versões 9.0.0 a 9.16.45 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.18.0 a 9.18.21 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.19.0 a 9.19.19 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões 9.9.3-S1 a 9.11.37-S1 do BIND 9, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões do BIND 9 de 9.16.8-S1 a 9.16.45-S1, atualize para uma versão fora desse intervalo para mitigar o risco. Para as versões do BIND 9 de 9.18.11-S1 a 9.18.21-S1, atualize para uma versão fora desse intervalo para mitigar o risco. Como medida temporária

**Name of the Vulnerable Software and Affected Versions** BIND 9 versions 9.11.0 through 9.16.41 BIND 9 versions 9.18.0 through 9.18.15 BIND 9 versions 9.19.0 through 9.19.13 BIND 9 versions 9.11.3-S1 through 9.16.41-S1 BIND 9 versions 9.18.11-S1 through 9.18.15-S1 **Description** The effectiveness of the cache-cleaning algorithm used in `named` can be severely diminished by querying the resolver for specific RRsets in a certain order, effectively allowing the configured `max-cache-size` limit to be significantly exceeded. This can lead to a denial of service, caused by a flaw that allows the named's configured cache size limit to be significantly exceeded, potentially exhausting all memory on the host. **Recommendations** For BIND 9 versions 9.11.0 through 9.16.41, update to a version that includes a fix for this issue. For BIND 9 versions 9.18.0 through 9.18.15, update to a version that includes a fix for this issue. For BIND 9 versions 9.19.0 through 9.19.13, update to a version that includes a fix for this issue. For BIND 9 versions 9.11.3-S1 through 9.16.41-S1, update to a version that includes a fix for this issue. For BIND 9 versions 9.18.11-S1 through 9.18.15-S1, update to a version that includes a fix for this issue. As a temporary workaround, consider restricting access to the `named` instance to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Unbound anteriores à 1.16.3 **Descrição** O problema está relacionado a um ataque de delegação sem resposta (NRDelegation Attack) que afeta vários softwares de resolução de DNS, incluindo o Unbound. Esse ataque envolve uma delegação maliciosa com um número considerável de servidores de nomes que não respondem, fazendo com que o resolvedor gaste tempo e recursos significativos resolvendo registros sob o ponto de delegação malicioso. Embora o Unbound não sofra com alto uso de CPU, ele ainda requer recursos para resolver a delegação maliciosa, o que pode levar à degradação do desempenho e, potencialmente, a uma negação de serviço em ataques orquestrados. **Recomendações** Para versões do Unbound anteriores à 1.16.3, atualize para a versão 1.16.3 ou posterior, que introduz correções para melhorar o desempenho sob carga, reduzindo consultas oportunistas para descoberta de servidores de nomes e pré-busca de DNSKEY, e limitando o número de vezes que um ponto de delegação pode emitir uma consulta de cache para registros ausentes.

**Nome do software vulnerável e versões afetadas** Versões do BIND (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma falha no código do resolvedor do servidor DNS, que pode ser explorada inundando o resolvedor alvo com consultas, prejudicando significativamente seu desempenho e impedindo efetivamente que clientes legítimos tenham acesso ao serviço de resolução DNS. Isso pode levar a um ataque de negação de serviço (DoS). A vulnerabilidade está associada ao gerenciamento inadequado de recursos internos da aplicação ao lidar com grandes delegações. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** PowerDNS Recursor, versões 4.1.0 a 4.3.0 **Descrição** A falha no protocolo DNS permite que agentes mal-intencionados utilizem serviços DNS recursivos para atacar servidores de nomes autoritativos de terceiros, resultando em desempenho reduzido. Isso é desencadeado por subdomínios aleatórios no campo NSDNAME dos registros NS. O ataque utiliza uma resposta forjada por um servidor de nomes autoritativo para amplificar o tráfego resultante entre o servidor recursivo e outros servidores de nomes autoritativos. **Recomendações** Para as versões 4.1.0 a 4.1.15 do PowerDNS Recursor, considere atualizar para a versão 4.1.16 para mitigar o impacto deste problema. Para as versões 4.2.0 a 4.2.1 do PowerDNS Recursor, considere atualizar para a versão 4.2.2 para mitigar o impacto deste problema. Para a versão 4.3.0 do PowerDNS Recursor, considere atualizar para a versão 4.3.1 para mitigar o impacto deste problema.

**Nome do software vulnerável e versões afetadas** Versões do BIND anteriores à versão corrigida Servidor DNS do Windows (versões afetadas não especificadas) PowerDNS Recursor (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de uma limitação eficaz do número de consultas realizadas durante o processamento de encaminhamentos, o que pode fazer com que um servidor recursivo emita um grande número de consultas. Isso pode levar à degradação do desempenho do servidor e ser potencialmente explorado em um ataque de reflexão com alto fator de amplificação. A vulnerabilidade pode ser explorada por um invasor remoto para provocar uma falha de asserção em tsig.c, causando uma negação de serviço. **Recomendações** Para o BIND, atualize para uma versão que inclua a correção para este problema. Para o Servidor DNS do Windows, aplique as medidas de mitigação propostas pelo fornecedor, conforme descrito no aviso de segurança ADV200009. Para o PowerDNS Recursor, siga as orientações fornecidas no aviso de segurança PowerDNS Advisory 2020-01. Como solução temporária, considere restringir o número de buscas realizadas ao processar referências para minimizar o risco de exploração. Restrinja o acesso à função vulnerável `tsig.c` para evitar falhas de asserção até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade para alguns dos softwares afetados.

**Nome do software vulnerável e versões afetadas** Versões do Unbound anteriores à 1.10.1 **Descrição** O problema está relacionado ao controle insuficiente do volume de mensagens de rede, também conhecido como problema “NXNSAttack”. Ele é desencadeado por subdomínios aleatórios no campo NSDNAME dos registros NS. **Recomendações** Para versões anteriores à 1.10.1, atualize para a versão 1.10.1 ou posterior para resolver o problema.