CVE-2023-50387

CVSS 7.5 HIGHEPSS 100.0%CWE-770

En resumen

Una falla en DNSSEC (el sistema de seguridad del DNS) permite que atacantes sobrecarguen servidores enviando respuestas DNS especialmente diseñadas que fuerzan consumo excesivo de CPU. Esto ocurre cuando los servidores intentan verificar firmas en zonas con muchas claves de seguridad.

Detalle técnico

CVE-2023-50387 explota la complejidad algorítmica en la validación DNSSEC forzando a los servidores a evaluar todas las combinaciones de registros DNSKEY y RRSIG en zonas con múltiples entradas. Atacantes remotos pueden disparar denegación de servicio mediante respuestas DNSSEC maliciosas sin autenticación; el ataque consume recursos significativos de CPU durante verificación criptográfica, afectando la disponibilidad del resolvedor DNS.

Resumen generado y traducido por IA a partir de la descripción oficial.

Certain DNSSEC aspects of the DNS protocol (in RFC 4033, 4034, 4035, 6840, and related RFCs) allow remote attackers to cause a denial of service (CPU consumption) via one or more DNSSEC responses, aka the "KeyTrap" issue. One of the concerns is that, when there is a zone with many DNSKEY and RRSIG records, the protocol specification implies that an algorithm must evaluate all combinations of DNSKEY and RRSIG records.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://access.redhat.com/security/cve/CVE-2023-50387 https://bugzilla.suse.com/show_bug.cgi?id=1219823 https://docs.powerdns.com/recursor/security-advisories/powerdns-advisory-2024-01.html https://gitlab.nic.cz/knot/knot-resolver/-/releases/v5.7.1 https://kb.isc.org/docs/cve-2023-50387 https://lists.debian.org/debian-lts-announce/2024/02/msg00006.html https://lists.debian.org/debian-lts-announce/2024/05/msg00011.html https://lists.debian.org/debian-lts-announce/2024/09/msg00001.html https://lists.debian.org/debian-lts-announce/2024/11/msg00035.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6FV5O347JTX7P5OZA6NGO4MKTXRXMKOZ/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BUIP7T7Z4T3UHLXFWG6XIVDP4GYPD3AI/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HVRDSJVZKMCXKKPP6PNR62T7RWZ3YSDZ/