अनुमानित DNS लेनदेन आईडी (Transaction IDs) बिल्ट-इन रिज़ॉल्वर (Resolver) में कैश पॉइज़निंग (Cache Poisoning) को सक्षम करते हैं

Erlang/OTP में CVE-2026-28810 कर्नेल को प्रभावित करता है, विशेष रूप से inetres और inetdb मॉड्यूल, जिससे DNS कैश पॉइज़निंग अटैक संभव हो पाता है। अंतर्निहित DNS रिज़ॉल्वर UDP क्वेरी के लिए 16-बिट अनुक्रमिक, प्रक्रिया-वैश्विक लेनदेन आईडी का उपयोग करता है और स्रोत पोर्ट रैंडमाइजेशन को लागू नहीं करता है। प्रतिक्रिया सत्यापन लगभग पूरी तरह से इस आईडी पर निर्भर करता है, जिससे एक हमलावर जो एक क्वेरी को देख सकता है या अगले आईडी की भविष्यवाणी कर सकता है, वह DNS कैश पॉइज़निंग अटैक कर सकता है। यह RFC 5452 की सिफारिशों का उल्लंघन करता है, DNS रिज़ॉल्यूशन की अखंडता को खतरे में डालता है और संभावित रूप से दुर्भावनापूर्ण साइटों पर ट्रैफ़िक को रीडायरेक्ट करने की अनुमति देता है।

Systems relying on Erlang/OTP's built-in DNS resolver, particularly those deployed in environments where network trust is not fully established, are at risk. This includes applications using Erlang/OTP for network communication and those that handle sensitive data transmitted over DNS. Legacy Erlang/OTP deployments are also particularly vulnerable.

• linux / server:

journalctl -u erlang -f | grep -i 'dns_resolve'

• linux / server:

ps aux | grep inet_res

• linux / server:

ss -tulnp | grep :53

1. 2026-04-07Disclosure

   disclosure

1. आरक्षित2026-03-03
2. प्रकाशित2026-04-07
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-14

CVE-2026-28810 को कम करने का समाधान Erlang/OTP के उस संस्करण में अपग्रेड करना है जिसमें फिक्स शामिल है। यह अपडेट स्रोत पोर्ट रैंडमाइजेशन की कमी को ठीक करता है और लेनदेन आईडी प्रबंधन में सुधार करता है, जिससे DNS प्रतिक्रिया सत्यापन मजबूत होता है। इस बीच, एक अस्थायी उपाय के रूप में, एक फ़ायरवॉल लागू करें जो संदिग्ध DNS ट्रैफ़िक को फ़िल्टर करता है और कैश पॉइज़निंग सुरक्षा तंत्र के साथ पुनरावर्ती DNS सर्वर का उपयोग करें। असामान्य पैटर्न के लिए DNS लॉग की निगरानी भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकती है। पैच लागू करना सबसे प्रभावी और अनुशंसित समाधान है।