プラットフォーム
linux
コンポーネント
erlang
修正版
*
*
*
CVE-2026-28810 describes a Generation of Predictable Numbers or Identifiers vulnerability within the Erlang/OTP kernel's inetres and inetdb modules. This flaw enables DNS cache poisoning, potentially allowing attackers to intercept and manipulate DNS traffic. The vulnerability affects Erlang/OTP versions 3.0.0 and later running on Linux systems, and a fix is available.
Erlang/OTP の CVE-2026-28810 は、kernel(特に inetres および inetdb モジュール)に影響を与え、DNSキャッシュポイズニング攻撃を可能にします。組み込みの DNS リゾルバは、UDP クエリに 16 ビットのシーケンシャルなプロセスグローバルなトランザクション ID を使用し、送信元ポートのランダム化を実装していません。応答の検証はほぼこの ID にのみ依存するため、1 つのクエリを観察したり、次の ID を予測したりできる攻撃者が DNS キャッシュポイズニング攻撃を実行することが可能になります。これは RFC 5452 の推奨事項に反し、DNS 解決の整合性を損ない、潜在的に悪意のあるサイトへのトラフィックリダイレクトを可能にします。
ネットワークトラフィックを観察したり、Erlang/OTP DNS リゾルバで使用される UDP トランザクション ID を予測したりできる攻撃者は、この脆弱性を悪用できます。これは、ネットワークスニッフィング技術または生成されたトランザクション ID のパターンを分析することによって実現できます。攻撃者が予想される ID を知った後、その ID で偽の DNS 応答を送信して、リゾルバを騙してキャッシュに誤った情報を保存できます。これにより、攻撃者はトラフィックを悪意のあるサーバーにリダイレクトしたり、機密データを傍受したり、他の攻撃を実行したりできます。
Systems relying on Erlang/OTP's built-in DNS resolver, particularly those deployed in environments where network trust is not fully established, are at risk. This includes applications using Erlang/OTP for network communication and those that handle sensitive data transmitted over DNS. Legacy Erlang/OTP deployments are also particularly vulnerable.
• linux / server:
journalctl -u erlang -f | grep -i 'dns_resolve'• linux / server:
ps aux | grep inet_res• linux / server:
ss -tulnp | grep :53disclosure
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
CISA SSVC
CVE-2026-28810 を軽減するための解決策は、修正が含まれている Erlang/OTP のバージョンにアップグレードすることです。この更新により、送信元ポートのランダム化の欠如が修正され、トランザクション ID の管理が改善され、DNS 応答の検証が強化されます。その間、一時的な対策として、疑わしい DNS トラフィックをフィルタリングするファイアウォールを実装し、キャッシュポイズニング保護メカニズムを備えた再帰的な DNS サーバーを使用してください。不審なパターンを検索して DNS ログを監視することも、潜在的な攻撃を検出して対応するのに役立ちます。パッチ適用が最も効果的で推奨される解決策です。
Actualice Erlang/OTP a la versión 28.4.3 o superior, o a las versiones corregidas correspondientes (10.6.3 para kernel 3.0, 10.2.7.4 para kernel 10.2, 9.2.4.11 para kernel 9.2). Esta actualización mitiga la vulnerabilidad de envenenamiento de caché DNS al implementar una generación de ID de transacción más segura y aleatorización del puerto de origen.
脆弱性分析と重要アラートをメールでお届けします。
これは、攻撃者が DNS サーバーのキャッシュに偽の DNS データを挿入し、トラフィックを悪意のある Web サイトにリダイレクトする攻撃です。
CVE-2026-28810 の修正が含まれていない以前のすべてのバージョンが脆弱です。詳細については、Erlang/OTP リリースノートを参照してください。
ファイアウォールや DNS ログ監視などの一時的な軽減策を実装してください。
インストールされている Erlang/OTP のバージョンを確認し、パッチが適用されたバージョンと比較してください。
ネットワーク監視ツールとログ分析ツールは、疑わしい DNS トラフィックパターンを検出するのに役立ちます。