CVE-2025-47950

Nome do Software Vulnerável e Versões Afetadas Versões do CoreDNS anteriores à 1.12.2 Versões do CoreDNS anteriores à 1.21.2

Descrição Existe um problema de Negação de Serviço (DoS) na implementação do servidor DNS-over-QUIC (DoQ) do CoreDNS. Anteriormente, o servidor criava uma nova goroutine para cada stream QUIC recebida, sem impor quaisquer limites ao número de streams ou goroutines concorrentes. Um atacante remoto e não autenticado poderia abrir um grande número de streams, levando ao consumo descontrolado de memória e eventualmente causando uma falha por Out Of Memory (OOM) — especialmente em ambientes containerizados ou com restrição de memória. A correção introduz dois mecanismos principais de mitigação: max streams, que limita o número de streams QUIC concorrentes por conexão com um valor padrão de 256; e worker pool size, que introduz um pool de trabalhadores limitado em todo o servidor para processar streams recebidas com um valor padrão de 1024.

Recomendações Para versões anteriores à 1.12.2, atualize para a versão 1.12.2 ou posterior. Para versões anteriores à 1.21.2, atualize para a versão 1.21.2 ou posterior. Como solução temporária, considere desabilitar o suporte a QUIC removendo ou comentando o bloco quic:// no Corefile. Utilize limites de recursos do runtime de container para detectar e isolar o uso excessivo de memória. Monitore os padrões de conexão QUIC e gere alertas sobre anomalias.