Plattform
linux
Komponente
erlang
Behoben in
*
*
*
CVE-2026-28810 describes a Generation of Predictable Numbers or Identifiers vulnerability affecting the Erlang/OTP kernel, specifically the inetres and inetdb modules. This flaw enables DNS cache poisoning by allowing attackers to forge DNS responses due to the sequential and predictable nature of transaction IDs used in UDP queries. The vulnerability impacts Erlang/OTP versions 3.0.0 and later, and a fix is currently unavailable.
CVE-2026-28810 in Erlang/OTP betrifft den Kernel, insbesondere die Module inetres und inetdb, und ermöglicht einen DNS-Cache-Vergiftungsangriff. Der integrierte DNS-Resolver verwendet eine sequentielle, prozessglobale 16-Bit-Transaktions-ID für UDP-Abfragen und implementiert keine Source-Port-Randomisierung. Die Antwortvalidierung hängt fast ausschließlich von dieser ID ab, was es einem Angreifer ermöglicht, der eine Abfrage beobachten oder die nächste ID vorhersagen kann, einen DNS-Cache-Vergiftungsangriff durchzuführen. Dies widerspricht der Empfehlung von RFC 5452 und gefährdet die Integrität der DNS-Auflösung, wodurch potenziell der Datenverkehr zu bösartigen Websites umgeleitet werden kann.
Ein Angreifer, der den Netzwerkverkehr beobachten oder die UDP-Transaktions-IDs vorhersagen kann, die vom Erlang/OTP DNS-Resolver verwendet werden, kann diese Schwachstelle ausnutzen. Dies kann durch Netzwerk-Sniffing-Techniken oder durch Analyse des Musters der generierten Transaktions-IDs erreicht werden. Sobald der Angreifer die erwartete ID kennt, kann er eine gefälschte DNS-Antwort mit dieser ID senden und den Resolver dazu bringen, falsche Informationen in seinem Cache zu speichern. Dies ermöglicht es dem Angreifer, den Datenverkehr auf einen bösartigen Server umzuleiten, sensible Daten abzufangen oder andere Angriffe durchzuführen.
Systems relying on Erlang/OTP's built-in DNS resolver, particularly those deployed in environments where network trust is not fully established, are at risk. This includes applications using Erlang/OTP for network communication and those that handle sensitive data transmitted over DNS. Legacy Erlang/OTP deployments are also particularly vulnerable.
• linux / server:
journalctl -u erlang -f | grep -i 'dns_resolve'• linux / server:
ps aux | grep inet_res• linux / server:
ss -tulnp | grep :53disclosure
Exploit-Status
EPSS
0.07% (21% Perzentil)
CISA SSVC
Die Lösung zur Minderung von CVE-2026-28810 besteht darin, auf eine Version von Erlang/OTP zu aktualisieren, die die Korrektur enthält. Das Update behebt das Fehlen der Source-Port-Randomisierung und verbessert das Transaktions-ID-Management, wodurch die DNS-Antwortvalidierung gestärkt wird. Als vorübergehende Maßnahme sollten Sie eine Firewall implementieren, die verdächtigen DNS-Verkehr filtert, und rekursive DNS-Server mit Mechanismen zum Schutz vor Cache-Vergiftung verwenden. Die Überwachung der DNS-Protokolle auf ungewöhnliche Muster kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Das Anwenden von Patches ist die effektivste und empfohlene Lösung.
Actualice Erlang/OTP a la versión 28.4.3 o superior, o a las versiones corregidas correspondientes (10.6.3 para kernel 3.0, 10.2.7.4 para kernel 10.2, 9.2.4.11 para kernel 9.2). Esta actualización mitiga la vulnerabilidad de envenenamiento de caché DNS al implementar una generación de ID de transacción más segura y aleatorización del puerto de origen.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Dies ist ein Angriff, bei dem ein Angreifer falsche DNS-Daten in den Cache eines DNS-Servers einschleust und den Datenverkehr zu einer bösartigen Website umleitet.
Alle Versionen vor derjenigen, die die Korrektur für CVE-2026-28810 enthält, sind anfällig. Weitere Informationen finden Sie in den Versionshinweisen von Erlang/OTP.
Implementieren Sie vorübergehende Abhilfemaßnahmen wie Firewalls und DNS-Protokollüberwachung.
Überprüfen Sie die installierte Erlang/OTP-Version und vergleichen Sie sie mit den gepatchten Versionen.
Netzwerküberwachungstools und Protokollanalysetools können helfen, verdächtige DNS-Verkehrsmuster zu erkennen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.