Coredns’in ETCD eklentisindeki kritik bir kusur, saldırganların DNS kayıtlarını yıllarca önbelleklere sabitleyerek meşru güncellemeleri etkili bir şekilde engelleyebilir.
CVE-2025-58063 olarak izlenen bu güvenlik açığı, ETCD kiralama kimliklerinin yanlış işlenmesinden kaynaklanmaktadır. Sürüm 1.2.0’dan itibaren her Coredns sürümünü etkiler ve GitHub’daki araştırmacı tarafından bir rapora göre 1.12.4 sürümünde yamalanmıştır.
Güvenlik ekipleri, uzun süreli önbellek zehirlenmesini önlemek için TTL ayarlarını acilen güncellemeli ve gözden geçirmelidir.
Güvenlik Açığı Detayları
Güvenlik açığı, TTL () işlevinin yanlışlıkla 64 bitlik bir kira kimliğini 32 bit imzasız bir tamsaya koyduğu eklenti/etcd/etcd.go dosyasında ortaya çıkar.
Kira kimlikleri, süre değerleri değil, opak tanımlayıcılar anlamına gelir. Kod kesik kimliği TTL olarak ele aldığında, son derece büyük değerler üretebilir.
| CVE kimliği | Güvenlik açığı | Etkilenen sürümler | Yamalı versiyon | Şiddet |
| CVE-2025-58063 | Dns önbellek sabitleme ile etcd kira kimliği karışıklığı | ≥1.2.0 | 1.12.4 | Yüksek |
ETCD’ye yazma erişimi olan bir saldırgan, bir DNS kaydına herhangi bir kira ekleyebilir ve bu da Coredns’in onlarca yıldır ölçülen TTL’lerle girişlere hizmet etmesine neden olabilir.
Sıkı TTL kapakları olmayan aşağı akış çözümleyicileri, sonraki güncellemeleri veya silme işlemlerini göz ardı ederek kayıtları süresiz olarak önbelleğe alacaktır.
Bir saldırgan ilk olarak etcd arka ucuna yazma ayrıcalıkları elde eder. Bu, yanlış yapılandırılmış roller, açıkta kalan uç noktalar veya çalıntı hizmet hesabı kimlik bilgileri ile ortaya çıkabilir.
Daha sonra, gerçek süresinden bağımsız olarak bir kira verirler ve Coredns’in hizmet keşif yolu altında bir DNS anahtarı yazar veya günceller. Coredns kayıt ve sahte TTL ile yanıt verir.
Müşteriler ve çözümleyiciler, doğal olarak veya çözücü bir sert kapak uygulayana kadar rekoru tutar. Bu pencere sırasında, kayda herhangi bir meşru güncelleme veya geri dönüş istemciler için görünmezdir.
IP rotasyonları, başarısızlıklar veya acil durum yamaları gibi hizmet değişiklikleri göz ardı edilecek ve DNS tabanlı hizmet keşfinin uzun süreli bozulmasına yol açacaktır.
COREDNS koruyucuları, gerçek kiralama sürelerini almak için ETCD’nin Kira API’sını sorgulayarak ve yapılandırılabilir TTL sınırlarını tanıtarak sorunu 1.12.4 sürümündeki sorunu çözmüştür.
Yöneticiler hemen yamalı sürüme yükseltilmelidir. Hemen yükseltmelerin pratik olmadığı ortamlarda, ekipler DNS çözücülerdeki veya bekçi vekillerindeki TTL sınırlarını aşırı değerleri sıkıştırmaya zorlamalıdır.
ETCD izinlerinin düzenli denetimleri ve hizmet hesabı kimlik bilgilerinin geri dönüşü, yetkisiz yazma erişim riskini daha da azaltabilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.