Show threadStéphane BortzmeyerNov 7, 2024

Proposal to add hard numerical limits to the #DNS parameters, in order to limit DoS attacks like #KeyTrap, Infinite or #Tsuname

For instance, max. number of NS records : 13, max. number of DNSSEC keys: 6, max. length of the CNAME chain: 1 (3 for the sissies), etc.

#IETF121

@x_cli

Adrian OffermanMar 27, 2024

op SIDN.nl: Alle DNS-software en -diensten bleken kwetsbaar voor DoS-aanval -- 25 jaar oude kwetsbaarheid in DNSSEC-ontwerp afgelopen weken gepatcht
https://www.sidn.nl/nieuws-en-blogs/alle-dns-software-en-diensten-bleken-kwetsbaar-voor-dos-aanval

"De kwetsbaarheid met de naam #KeyTrap maakte het mogelijk om vanaf een DNS-server een Denial-of-Service (DoS)-aanval uit te voeren op een validerende resolver. Omdat het een probleem in de specificatie zelf betrof, waren alle veelgebruikte DNS-resolvers en -diensten aangedaan."

#DNSSEC #InternetSecurity

Alle DNS-software en -diensten bleken kwetsbaar voor DoS-aanval | Cybersecurity | SIDN

Afgelopen maand werd de DNS-wereld opgeschrikt door de publicatie van een ernstige kwetsbaarheid in de DNSSEC-specificatie. KeyTrap maakte het mogelijk om vanaf een DNS-server een DoS-aanval uit te voeren op een validerende resolver.

SIDN - Het bedrijf achter .nl
Stéphane BortzmeyerMar 19, 2024

Le 16 février a été publiée la faille de sécurité #DNSSEC #KeyTrap Je sais, c'est un peu tard pour en parler mais c'est quand même utile, non ?

https://www.bortzmeyer.org/keytrap.html

Blog Stéphane Bortzmeyer: La faille DNSSEC KeyTrap

Stéphane BortzmeyerMar 16, 2024
Very good analogy by Edward Lewis on an #IETF mailing list (in the context of #KeyTrap) about the risk of filtering stuff in the name of security: filtering can also clog the system. "I am picturing a screen put over a water spillway, or paper air
filters in an HVAC intake or internal combustion engines." "Filtering will slow flow and may even entirely stop it"
Show threadStéphane BortzmeyerMar 12, 2024
@dad Ah, j'avais prévu d'écrire un article sur #KeyTrap en français mais j'ai eu la flemme. Ceci dit, il n'est pas trop tard.
Show threadyukoffMar 1, 2024

The research team has now published the technical paper on #KeyTrap:
https://www.athene-center.de/fileadmin/content/PDF/Technical_Report_KeyTrap.pdf

ISC has a good summary here:
https://www.isc.org/blogs/2024-bind-security-release/
#DNS #DNSSEC

Stéphane BortzmeyerFeb 23, 2024

Si vous ne savez pas quoi lire ce week-end, que vous vous intéressez au #DNS, et que vous n'avez pas encore lu l'article sur #KeyTrap, il est bien. Il faut juste ignorer les phrases du genre « Solving these issues fundamentally requires to
reconsider the basics of the design philosophy of the Internet. » et autres exagérations typiques d'Haya Shulman. https://www.athene-center.de/en/keytrap

(Avant, pensez à mettre à jour vos résolveurs.)

KeyTrap

ATHENE
BmixedFeb 23, 2024
#cybersecurity #cybernews #keytrap
The KeyTrap Denial-of-Service Algorithmic Complexity Attacks On DNS ≈ Packet Storm
https://packetstormsecurity.com/files/177250/Technical_Report_KeyTrap.pdf
The KeyTrap Denial-of-Service Algorithmic Complexity Attacks On DNS ≈ Packet Storm

Information Security Services, News, Files, Tools, Exploits, Advisories and Whitepapers

BmixedFeb 22, 2024
#cybersecurity #keytrap #dns #vulnerability #exploit
The "KeyTrap" DNS vulnerability [LWN.net]
https://lwn.net/Articles/962924/
The "KeyTrap" DNS vulnerability [LWN.net]

BmixedFeb 22, 2024
#cybersecurity #keytrap #dns #vulnerability #exploit
'KeyTrap' DNS Bug Threatens Widespread Internet Outages
https://www.darkreading.com/cloud-security/keytrap-dns-bug-threatens-widespread-internet-outages
'KeyTrap' DNS Bug Threatens Widespread Internet Outages

Thanks to a 24-year-old security vulnerability tracked as CVE-2023-50387, attackers could stall DNS servers with just a single malicious packet, effectively taking out wide swaths of the Internet.