CVE-2026-35579

Nome do Software Vulnerável e Versões Afetadas CoreDNS versões anteriores a 1.14.3

Descrição As implementações de transporte gRPC, QUIC, DoH e DoH3 do CoreDNS lidam incorretamente com a autenticação TSIG (Transaction Signature), que é um mecanismo usado para autenticar mensagens DNS.

Nos transportes gRPC e QUIC, o servidor verifica se o nome da chave TSIG existe na configuração, mas não chama a função dns.TsigVerify() para validar o HMAC (Hash-based Message Authentication Code). Consequentemente, qualquer solicitação com um nome de chave válido é tratada como autenticada, independentemente do valor do MAC.

Nos transportes DoH e DoH3, o problema é mais crítico, pois o método DoHWriter.TsigStatus() retorna nil incondicionalmente e o servidor não inspeciona o registro TSIG. Isso permite que qualquer solicitação contendo um registro TSIG seja tratada como autenticada, mesmo com um nome de chave inválido e MAC arbitrário.

Um invasor de rede não autenticado pode explorar essas falhas para ignorar funcionalidades protegidas por TSIG, como transferências de zona AXFR/IXFR, atualizações de DNS dinâmico ou outros comportamentos de plugins controlados por TSIG. A barreira de exploração é menor para DoH e DoH3, pois não é necessário um nome de chave válido.

Recomendações Atualize para a versão 1.14.3. Como medida paliativa temporária, desative os listeners gRPC, QUIC, DoH e DoH3 onde a autenticação TSIG é necessária. Restrinja o acesso em nível de rede às portas de transporte afetadas apenas a fontes confiáveis.