Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
DNSSEC: KeyTrap vulnerability
4 views
Skip to first unread message
ObiWan
Feb 20, 2024, 4:10:17 AM2/20/24
to
Stando a quanto scoperto dal "German National Research Center for
Applied Cybersecurity" esiste una vulnerabilità nel meccanismo di
DNSSEC che consente di mettere fuori uso un DNS inviando soltanto
un pacchetto query che manda in loop il server causando un uso di
CPU del 100%
https://www.theregister.com/2024/02/13/dnssec_vulnerability_internet/
il risultato è che il DNS non risponde più alle richieste :P
ObiWan
Feb 20, 2024, 4:20:44 AM2/20/24
to
:: On Tue, 20 Feb 2024 10:10:14 +0100
:: (it.comp.sicurezza.varie)
:: <20240220101...@mvps.org>
:: ObiWan <obi...@mvps.org> wrote:
> https://www.theregister.com/2024/02/13/dnssec_vulnerability_internet/
per ulteriori dettagli
https://www.athene-center.de/fileadmin/content/PDF/Technical_Report_KeyTrap.pdf
:: (it.comp.sicurezza.varie)
:: <20240220101...@mvps.org>
:: ObiWan <obi...@mvps.org> wrote:
> https://www.theregister.com/2024/02/13/dnssec_vulnerability_internet/
per ulteriori dettagli
https://www.athene-center.de/fileadmin/content/PDF/Technical_Report_KeyTrap.pdf
ObiWan
Feb 20, 2024, 11:10:56 AM2/20/24
to
:: On Tue, 20 Feb 2024 15:42:33 -0000 (UTC)
:: (it.comp.sicurezza.varie)
:: <XnsB11EA902D...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> ObiWan <obi...@mvps.org> wrote in
> news:20240220101...@mvps.org:
Per fortuna sia ISC (BIND) che NLnet (UNBOUND) hanno rilasciato
versioni dei relativi sw che implementano dei "fix" per KeyTrap
non si tratta di soluzioni definitive ma, per lo meno, si evita
che il DNS vada "in blocco"
Una possibile soluzione reale sarebbe quella di fare in modo che
il DNS all'avvio (e ad intervalli) vada a fare un check DNSSEC verso
dei server "noti", calcoli il tempo necessario alla validazione e poi
moltiplichi tale valore per un fattore (es. 3) ed utilizzi il risultato
come tempo massimo per l'elaborazione di DNSSEC, in tal modo nel caso
in cui venga tentato un attacco KeyTrap (o simile) il DNS non
spenderebbe troppo tempo nel tentativo di validazione e riuscirebbe
comunque a soddisfare le altre richieste
:: (it.comp.sicurezza.varie)
:: <XnsB11EA902D...@not.for.you>
:: Allen <al...@spamfence.net> wrote:
> ObiWan <obi...@mvps.org> wrote in
> news:20240220101...@mvps.org:
>
> > il risultato è che il DNS non risponde più alle richieste
>
> ... mancava anche questa :-(
> > il risultato è che il DNS non risponde più alle richieste
>
Per fortuna sia ISC (BIND) che NLnet (UNBOUND) hanno rilasciato
versioni dei relativi sw che implementano dei "fix" per KeyTrap
non si tratta di soluzioni definitive ma, per lo meno, si evita
che il DNS vada "in blocco"
Una possibile soluzione reale sarebbe quella di fare in modo che
il DNS all'avvio (e ad intervalli) vada a fare un check DNSSEC verso
dei server "noti", calcoli il tempo necessario alla validazione e poi
moltiplichi tale valore per un fattore (es. 3) ed utilizzi il risultato
come tempo massimo per l'elaborazione di DNSSEC, in tal modo nel caso
in cui venga tentato un attacco KeyTrap (o simile) il DNS non
spenderebbe troppo tempo nel tentativo di validazione e riuscirebbe
comunque a soddisfare le altre richieste
0 new messages