CVE-2026-32934

Nome do Software Vulnerável e Versões Afetadas CoreDNS versões anteriores a 1.14.3

Descrição O servidor DNS-over-QUIC (DoQ) pode ser levado a um crescimento ilimitado de goroutines e memória por um invasor remoto não autenticado. Isso ocorre quando um cliente abre inúmeros fluxos QUIC e envia apenas um byte por fluxo. Mesmo quando o pool de trabalhadores está cheio, o servidor continua a criar uma goroutine para cada fluxo aceito para aguardar um token de trabalhador. Além disso, os trabalhadores ativos podem bloquear indefinidamente na função io.ReadFull() devido à ausência de um prazo de leitura por fluxo, permitindo que um invasor prenda todos os trabalhadores ao enviar um único byte enquanto o sistema aguarda o segundo byte do prefixo de comprimento do DoQ. Essa sequência leva à exaustão de memória e a um OOM-kill (interrupção por falta de memória), resultando em negação de serviço.

Recomendações Atualize para a versão 1.14.3.