Plateforme
linux
Composant
erlang
Corrigé dans
*
*
*
La vulnérabilité CVE-2026-28810 affecte les modules inetres et inetdb du noyau Erlang/OTP, permettant un empoisonnement du cache DNS. Elle est due à l'utilisation d'un identifiant de transaction UDP 16 bits séquentiel et global au processus, sans randomisation du port source, rendant la validation des réponses DNS vulnérable. Cette faille impacte les versions 3.0.0 et ultérieures d'Erlang/OTP et n'a pas de correctif officiel disponible pour le moment.
La vulnérabilité CVE-2026-28810 dans Erlang/OTP affecte le noyau, en particulier les modules inetres et inetdb, permettant une attaque d'empoisonnement du cache DNS. Le résolveur DNS intégré utilise un ID de transaction UDP de 16 bits séquentiel et global au processus et n'implémente pas la randomisation du port source. La validation des réponses dépend presque entièrement de cet ID, ce qui rend pratique pour un attaquant capable d'observer une requête ou de prédire le prochain ID de réaliser une attaque d'empoisonnement du cache DNS. Cela contredit la recommandation de la RFC 5452, compromettant l'intégrité de la résolution DNS et permettant potentiellement de rediriger le trafic vers des sites malveillants.
Un attaquant capable d'observer le trafic réseau ou de prédire les ID de transaction UDP utilisés par le résolveur DNS d'Erlang/OTP peut exploiter cette vulnérabilité. Cela peut être réalisé grâce à des techniques d'écoute réseau ou en analysant le schéma des ID de transaction générés. Une fois que l'attaquant connaît l'ID attendu, il peut envoyer une réponse DNS falsifiée avec cet ID, trompant le résolveur pour qu'il stocke des informations incorrectes dans son cache. Cela permet à l'attaquant de rediriger le trafic vers un serveur malveillant, d'intercepter des données sensibles ou d'effectuer d'autres attaques.
Systems relying on Erlang/OTP's built-in DNS resolver, particularly those deployed in environments where network trust is not fully established, are at risk. This includes applications using Erlang/OTP for network communication and those that handle sensitive data transmitted over DNS. Legacy Erlang/OTP deployments are also particularly vulnerable.
• linux / server:
journalctl -u erlang -f | grep -i 'dns_resolve'• linux / server:
ps aux | grep inet_res• linux / server:
ss -tulnp | grep :53disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
La solution pour atténuer CVE-2026-28810 consiste à mettre à niveau vers une version d'Erlang/OTP qui intègre la correction. La mise à jour corrige l'absence de randomisation du port source et améliore la gestion de l'ID de transaction, renforçant la validation des réponses DNS. En attendant, comme mesure temporaire, implémentez un pare-feu qui filtre le trafic DNS suspect et utilisez des serveurs DNS récursifs dotés de mécanismes de protection contre l'empoisonnement du cache. Surveiller les journaux DNS à la recherche de schémas inhabituels peut également aider à détecter et à répondre aux attaques potentielles. L'application de correctifs est la solution la plus efficace et recommandée.
Actualice Erlang/OTP a la versión 28.4.3 o superior, o a las versiones corregidas correspondientes (10.6.3 para kernel 3.0, 10.2.7.4 para kernel 10.2, 9.2.4.11 para kernel 9.2). Esta actualización mitiga la vulnerabilidad de envenenamiento de caché DNS al implementar una generación de ID de transacción más segura y aleatorización del puerto de origen.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une attaque où un attaquant insère de fausses données DNS dans le cache d'un serveur DNS, redirigeant le trafic vers un site web malveillant.
Toutes les versions antérieures à celle contenant la correction pour CVE-2026-28810 sont vulnérables. Consultez les notes de publication d'Erlang/OTP pour plus de détails.
Mettez en œuvre des mesures d'atténuation temporaires telles que des pare-feu et une surveillance des journaux DNS.
Vérifiez la version d'Erlang/OTP installée et comparez-la aux versions corrigées.
Des outils de surveillance réseau et d'analyse de journaux peuvent aider à détecter des schémas de trafic DNS suspects.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.