PT-2024-21058 · Dnsjava+2 · Dnsjava+2
Bellebaum
·
Publicado
2024-07-22
·
Atualizado
2026-05-18
·
CVE-2024-25638
CVSS v3.1
8.9
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:L |
Nome do software vulnerável e versões afetadas
Versões do dnsjava anteriores à 3.6.0
Descrição
O problema decorre do fato de o dnsjava não verificar a relevância dos registros nas respostas DNS à consulta, permitindo que um invasor responda com registros de zonas diferentes. Isso pode levar as aplicações a filtrar cegamente os resultados recebidos e, potencialmente, considerar registros irrelevantes como respostas autênticas. A vulnerabilidade pode ser explorada em vários cenários, incluindo a troca de registros SRV para redirecionar credenciais de usuários, a troca de registros MX para divulgação de informações e a manipulação da raiz de confiança de aplicativos dependentes por meio da troca de registros URI e SMIMEA.
Recomendações
Para versões anteriores à 3.6.0, atualize para a versão 3.6.0 para corrigir a vulnerabilidade.
Como solução alternativa temporária, considere filtrar os RRs recebidos usando um algoritmo que verifique a autenticidade e a relevância dos registros para a consulta.
Ao usar um ValidatingResolver, ignore quaisquer indicações do servidor sobre se os dados estavam ou não disponíveis.
Para APIs que retornam RRs de respostas DNS, filtre os RRs para garantir que sejam relevantes para a consulta.
Exploit
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Red Os
Dnsjava