CVE-2021-23386：dns-packet内存泄露漏洞 (CVSS 7.7)

CVE-2021-23386 影响 dns-packet 包的 1.3.2 之前的版本和 5.2.2 之前的版本，存在敏感内存泄露的风险。问题在于该包处理缓冲区分配和填充的方式。具体来说，它使用 allocUnsafe 创建缓冲区，而没有确保在构建网络包之前缓冲区已完全填充。这使得攻击者可以通过发送专门设计的无效域名，导致应用程序的内部内存片段包含在通过网络传输的网络包中。这些信息可能包括 API 密钥、密码或其他敏感数据，从而可能危及系统安全。

Applications utilizing the dns-packet package in Node.js environments are at risk, particularly those handling external DNS queries or processing user-supplied domain names. This includes applications that rely on DNS resolution for functionality, such as DNS resolvers, network monitoring tools, and applications integrating with DNS services. Shared hosting environments where multiple applications share the same Node.js instance are also at increased risk.

• nodejs / server:

  npm list dns-packet

If the output shows a version prior to 5.2.2, the system is vulnerable. • nodejs / server:

  npm audit dns-packet

This command will identify the vulnerability and suggest an upgrade. • generic web: Monitor network traffic for unusual DNS queries containing invalid or malformed domain names. Look for patterns indicative of probing or exploitation attempts.

1. 2021-05-24Disclosure

   disclosure

1. 已保留2021-01-08
2. 发布日期2021-05-24
3. 修改日期2025-01-14
4. EPSS 更新日期2026-04-02

针对 CVE-2021-23386 的建议缓解措施是将 dns-packet 包更新到 5.2.2 或更高版本。此版本包含修复程序，通过确保在用于构建网络包之前缓冲区已正确填充，从而解决了漏洞。如果无法立即更新，请考虑实施其他安全措施，例如网络隔离和监控网络流量以查找可疑模式。 审查项目依赖项并更新任何使用 dns-packet 漏洞版本的其他库也很重要。 及时应用安全补丁对于保护系统免受潜在攻击至关重要。