Coredns güvenlik açığı, saldırganların amplifikasyon saldırısı yoluyla sunucu belleğini tüketmesine izin verir


Coredns’ın DNS üzerinden quic (DOQ) uygulamasında yüksek şiddetli bir güvenlik açığı (CVE-2025-47950), uzak saldırganların DNS sunucularını akış amplifikasyon saldırıları yoluyla çarpmasına olanak tanır.

V1.21.2’de yamalanan bu kusur, bulut-yerli sistemler için modern protokol benim

DOQ uygulamasında goroutine proliferasyonu

Güvenlik açığı, Coredns’in Quic akışlarını kullanmasından kaynaklanmaktadır. server_quic.go bileşen.

– Reklamcılık –
Google Haberleri

Gelen her quic akışı için, sunucu eşzamanlılık sınırları olmadan yeni bir goroutin ortaya çıkardı ve 1: 1 akış-goroutine eşleme oluşturdu.

Bu tasarım, saldırganların şunları sağladı:

  • Sınırsız akışları tek/çoklu quic bağlantıları üzerinden açın
  • Bellek kısıtlı ortamlarda OOM çökmelerini tetikleyin (Kubernetes/Container kurulumlarında yaygın)
  • Standart DNS üzerinden quic el sıkışmasını kullanarak atlama kimlik doğrulaması
go// Vulnerable pre-1.21.2 code snippet from server_quic.go  
func (s *Server) handleStream(stream quic.Stream) {  
    go s.processStream(stream) // Uncontrolled goroutine creation  
}  

Saldırı, minimal bant genişliği (10k akışlar için ~ 1 MB/s) ve ayrıcalıklar gerektirmez, 7.5 CVSSV3 puanı kazanır (AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/H).


Azaltma Stratejileri: Eşzamanlı Akış Kısaltma

Yama, yeni çekirdek direktifleri aracılığıyla iki eşzamanlılık kontrolü getiriyor:

ParametreVarsayılanİşlev
max_streams256Quic bağlantısı başına akışları sınırlar
worker_pool_size1024Akış işlemesi için küresel işçi havuzunu ayarlar
bashquic {  
    max_streams 256          # Prevents single-connection attacks  
    worker_pool_size 1024    # Global stream processing cap  
}  

Patalanmamış sistemler için yöneticiler:

  • Çıkararak DOQ’yu devre dışı bırakın quic:// çekirdekten
  • Kubernetes’i uygulayın resources.limits Bellek/CPU için
  • Anormal akış sayımları için quic trafiğini izleyin (> 500/sn)

Bulut DNS altyapı maruziyeti

Risk faktörüŞiddet seviyesiDetaylar
Saldırı yüzeyiEleştirelKubernetes kümelerinin% 78’i Coredns kullanıyor
Çaba sarf etmekDüşükStandart Quic istemci araçları gerektirir
DarbeYüksek90 saniyede küme çapında DNS kesintisi
Yama kadansıIlımanİşletmelerin% 40’ı DNS> 30 gün güncelleme

Red Hat’ın modifiye CVSS skoru (5.3), OOM’un POD yeniden planlama fırtınalarını öldürdüğü konteyner ortamlarını hafife alıyor.

Güvenlik açığı özellikle tehdit ediyor:

  • Paylaşılan Coredns örneklerini kullanan çok kiracılı SaaS platformları
  • Sınırlı RAM ile Edge Hesaplama düğümleri (örn., <4GB)
  • DNS tabanlı hizmet keşifine dayanan CI/CD boru hatları

Güvenlik ekipleri, yükseltmelere öncelik vermelidir go get github.com/coredns/[email protected] Ve kullanım yolunun ne olduğunu duyar:

bashkubectl get cm -n kube-system coredns -o yaml | grep "quic://"  

Bu olay, daha yeni protokollerin benimsenmesi (QUIC) ve geriye doğru uyumlu güvenlik modellerini korumak arasındaki gerilimi vurgulamaktadır-DOQ benimsenmesi muhtemel bir zorluk% 300 büyüyerek artmaktadır.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link