Platform
linux
Component
erlang
Opgelost in
*
*
*
CVE-2026-28810 beschrijft een DNS Cache Poisoning kwetsbaarheid in de Erlang/OTP kernel, specifiek in de inetres en inetdb modules. Deze kwetsbaarheid ontstaat doordat de DNS resolver een voorspelbaar transactie-ID gebruikt, waardoor een aanvaller DNS-antwoorden kan vervalsen. De kwetsbaarheid treft Erlang/OTP versies 3.0.0 en hoger, en wordt beschouwd als een risico in vertrouwde netwerkomgevingen. Er is momenteel geen officiële patch beschikbaar.
CVE-2026-28810 in Erlang/OTP beïnvloedt de kernel, met name de modules inetres en inetdb, waardoor een DNS-cachevergiftigingsaanval mogelijk wordt. De ingebouwde DNS-resolver gebruikt een sequentieel, procesglobaal 16-bits transactie-ID voor UDP-query's en implementeert geen bronpoortrandomisatie. De validatie van antwoorden is bijna uitsluitend afhankelijk van deze ID, waardoor een aanvaller die een query kan observeren of de volgende ID kan voorspellen, een DNS-cachevergiftigingsaanval kan uitvoeren. Dit is in strijd met de aanbeveling van RFC 5452 en compromitteert de integriteit van de DNS-resolutie, waardoor mogelijk verkeer naar kwaadaardige sites wordt omgeleid.
Een aanvaller die het netwerkverkeer kan observeren of de UDP-transactie-ID's kan voorspellen die door de Erlang/OTP DNS-resolver worden gebruikt, kan deze kwetsbaarheid uitbuiten. Dit kan worden bereikt door middel van netwerk-sniffing-technieken of door het patroon van de gegenereerde transactie-ID's te analyseren. Zodra de aanvaller de verwachte ID kent, kan hij een vervalst DNS-antwoord met die ID verzenden en de resolver ertoe aanzetten om onjuiste informatie in zijn cache op te slaan. Dit stelt de aanvaller in staat om verkeer naar een kwaadaardige server om te leiden, gevoelige gegevens te onderscheppen of andere aanvallen uit te voeren.
Systems relying on Erlang/OTP's built-in DNS resolver, particularly those deployed in environments where network trust is not fully established, are at risk. This includes applications using Erlang/OTP for network communication and those that handle sensitive data transmitted over DNS. Legacy Erlang/OTP deployments are also particularly vulnerable.
• linux / server:
journalctl -u erlang -f | grep -i 'dns_resolve'• linux / server:
ps aux | grep inet_res• linux / server:
ss -tulnp | grep :53disclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
De oplossing om CVE-2026-28810 te mitigeren, is het upgraden naar een versie van Erlang/OTP die de correctie bevat. De update corrigeert het ontbreken van bronpoortrandomisatie en verbetert het transactie-ID-beheer, waardoor de DNS-antwoordvalidatie wordt versterkt. In de tussentijd, als tijdelijke maatregel, implementeer dan een firewall die verdacht DNS-verkeer filtert en gebruik recursieve DNS-servers met mechanismen ter bescherming tegen cachevergiftiging. Het monitoren van DNS-logs op ongebruikelijke patronen kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Het toepassen van patches is de meest effectieve en aanbevolen oplossing.
Actualice Erlang/OTP a la versión 28.4.3 o superior, o a las versiones corregidas correspondientes (10.6.3 para kernel 3.0, 10.2.7.4 para kernel 10.2, 9.2.4.11 para kernel 9.2). Esta actualización mitiga la vulnerabilidad de envenenamiento de caché DNS al implementar una generación de ID de transacción más segura y aleatorización del puerto de origen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit is een aanval waarbij een aanvaller valse DNS-gegevens in de cache van een DNS-server injecteert en het verkeer naar een kwaadaardige website omleidt.
Alle versies vóór die met de correctie voor CVE-2026-28810 zijn kwetsbaar. Raadpleeg de release notes van Erlang/OTP voor meer details.
Implementeer tijdelijke mitigatiemaatregelen, zoals firewalls en DNS-logboekmonitoring.
Controleer de geïnstalleerde Erlang/OTP-versie en vergelijk deze met de gepatchte versies.
Netwerkmonitoringtools en logboekanalysemiddelen kunnen helpen bij het detecteren van verdachte DNS-verkeerspatronen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.