Coredns’ın DNS üzerinden quic (DOQ) uygulamasında yüksek şiddetli bir güvenlik açığı (CVE-2025-47950), uzak saldırganların DNS sunucularını akış amplifikasyon saldırıları yoluyla çarpmasına olanak tanır.
V1.21.2’de yamalanan bu kusur, bulut-yerli sistemler için modern protokol benim
DOQ uygulamasında goroutine proliferasyonu
Güvenlik açığı, Coredns’in Quic akışlarını kullanmasından kaynaklanmaktadır. server_quic.go
bileşen.
.png
)
Gelen her quic akışı için, sunucu eşzamanlılık sınırları olmadan yeni bir goroutin ortaya çıkardı ve 1: 1 akış-goroutine eşleme oluşturdu.
Bu tasarım, saldırganların şunları sağladı:
- Sınırsız akışları tek/çoklu quic bağlantıları üzerinden açın
- Bellek kısıtlı ortamlarda OOM çökmelerini tetikleyin (Kubernetes/Container kurulumlarında yaygın)
- Standart DNS üzerinden quic el sıkışmasını kullanarak atlama kimlik doğrulaması
go// Vulnerable pre-1.21.2 code snippet from server_quic.go
func (s *Server) handleStream(stream quic.Stream) {
go s.processStream(stream) // Uncontrolled goroutine creation
}
Saldırı, minimal bant genişliği (10k akışlar için ~ 1 MB/s) ve ayrıcalıklar gerektirmez, 7.5 CVSSV3 puanı kazanır (AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/H).
Azaltma Stratejileri: Eşzamanlı Akış Kısaltma
Yama, yeni çekirdek direktifleri aracılığıyla iki eşzamanlılık kontrolü getiriyor:
Parametre | Varsayılan | İşlev |
---|---|---|
max_streams | 256 | Quic bağlantısı başına akışları sınırlar |
worker_pool_size | 1024 | Akış işlemesi için küresel işçi havuzunu ayarlar |
bashquic {
max_streams 256 # Prevents single-connection attacks
worker_pool_size 1024 # Global stream processing cap
}
Patalanmamış sistemler için yöneticiler:
- Çıkararak DOQ’yu devre dışı bırakın
quic://
çekirdekten - Kubernetes’i uygulayın
resources.limits
Bellek/CPU için - Anormal akış sayımları için quic trafiğini izleyin (> 500/sn)
Bulut DNS altyapı maruziyeti
Risk faktörü | Şiddet seviyesi | Detaylar |
---|---|---|
Saldırı yüzeyi | Eleştirel | Kubernetes kümelerinin% 78’i Coredns kullanıyor |
Çaba sarf etmek | Düşük | Standart Quic istemci araçları gerektirir |
Darbe | Yüksek | 90 saniyede küme çapında DNS kesintisi |
Yama kadansı | Ilıman | İşletmelerin% 40’ı DNS> 30 gün güncelleme |
Red Hat’ın modifiye CVSS skoru (5.3), OOM’un POD yeniden planlama fırtınalarını öldürdüğü konteyner ortamlarını hafife alıyor.
Güvenlik açığı özellikle tehdit ediyor:
- Paylaşılan Coredns örneklerini kullanan çok kiracılı SaaS platformları
- Sınırlı RAM ile Edge Hesaplama düğümleri (örn., <4GB)
- DNS tabanlı hizmet keşifine dayanan CI/CD boru hatları
Güvenlik ekipleri, yükseltmelere öncelik vermelidir go get github.com/coredns/[email protected]
Ve kullanım yolunun ne olduğunu duyar:
bashkubectl get cm -n kube-system coredns -o yaml | grep "quic://"
Bu olay, daha yeni protokollerin benimsenmesi (QUIC) ve geriye doğru uyumlu güvenlik modellerini korumak arasındaki gerilimi vurgulamaktadır-DOQ benimsenmesi muhtemel bir zorluk% 300 büyüyerek artmaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin