The Cloudflare Blog
·
解决新的DNSSEC资源耗尽漏洞
💡
原文英文,约1400词,阅读约需5分钟。
📝
内容提要
Cloudflare已经解决了两个关键的DNSSEC漏洞,这些漏洞对DNS解析服务构成了风险。这些漏洞不影响Cloudflare的权威DNS或DNS防火墙产品。Cloudflare的公共解析器1.1.1.1服务和使用unbound的内部解析器已经受到了这些漏洞的保护。建议立即更新DNS解析器软件。这些漏洞包括Keytrap漏洞,它增加了验证DNS解析器的计算成本,以及NSEC3迭代和最接近封闭证明漏洞,它耗尽了计算资源。Cloudflare已经实施了对这两个漏洞的缓解措施。
🎯
关键要点
- Cloudflare解决了两个关键的DNSSEC漏洞,保护了DNS解析服务。
- 这两个漏洞不影响Cloudflare的权威DNS或DNS防火墙产品。
- Cloudflare的公共解析器1.1.1.1和内部解析器已受到保护,建议立即更新DNS解析器软件。
- Keytrap漏洞增加了验证DNS解析器的计算成本,可能导致性能下降。
- NSEC3迭代和最接近封闭证明漏洞耗尽计算资源,影响DNS解析器的性能。
- Cloudflare对Keytrap漏洞实施了最大密钥数量限制和签名验证限制。
- 对NSEC3漏洞的缓解措施包括限制每个解析任务的哈希计算总数。
- Cloudflare的公共解析器1.1.1.1在漏洞公开前已实施缓解措施。
- 所有主要DNS软件供应商已发布新版本以解决这些漏洞。
- 感谢发现漏洞并进行负责任披露的研究人员和组织。
➡️
