CVE-2026-28810 描述了 Erlang/OTP 内置 DNS 解析器中的一个漏洞,该解析器使用序列化的、进程全局的 16 位事务 ID 进行 UDP 查询,且未实现源端口随机化。攻击者可以预测这些 ID,从而进行 DNS 缓存中毒攻击。此问题影响 Erlang/OTP 的 3.0.0 及更高版本。
Erlang/OTP 中的 CVE-2026-28810 影响内核,特别是 inetres 和 inetdb 模块,从而可能导致 DNS 缓存中毒攻击。 内置的 DNS 解析器使用 16 位的顺序、进程全局事务 ID 进行 UDP 查询,并且没有实现源端口随机化。 响应验证几乎完全依赖于此 ID,因此能够观察到一次查询或预测下一个 ID 的攻击者可以执行 DNS 缓存中毒攻击。 这违反了 RFC 5452 的建议,损害了 DNS 解析的完整性,并可能允许将流量重定向到恶意站点。
能够观察网络流量或预测 Erlang/OTP DNS 解析器使用的 UDP 事务 ID 的攻击者可以利用此漏洞。 这可以通过网络嗅探技术或分析生成的事务 ID 模式来实现。 一旦攻击者知道预期的 ID,他们就可以发送具有该 ID 的伪造 DNS 响应,欺骗解析器在缓存中存储不正确的信息。 这使攻击者能够将流量重定向到恶意服务器、拦截敏感数据或执行其他攻击。
Systems relying on Erlang/OTP's built-in DNS resolver, particularly those deployed in environments where network trust is not fully established, are at risk. This includes applications using Erlang/OTP for network communication and those that handle sensitive data transmitted over DNS. Legacy Erlang/OTP deployments are also particularly vulnerable.
• linux / server:
journalctl -u erlang -f | grep -i 'dns_resolve'• linux / server:
ps aux | grep inet_res• linux / server:
ss -tulnp | grep :53disclosure
漏洞利用状态
EPSS
0.07% (21% 百分位)
CISA SSVC
减轻 CVE-2026-28810 的解决方案是升级到包含修复程序的 Erlang/OTP 版本。 此更新解决了源端口随机化缺失的问题,并改进了事务 ID 管理,从而加强了 DNS 响应验证。 同时,作为临时措施,请实施一个过滤可疑 DNS 流量的防火墙,并使用具有缓存中毒保护机制的递归 DNS 服务器。 监控 DNS 日志以查找异常模式也有助于检测和响应潜在攻击。 应用补丁是最有效和推荐的解决方案。
Actualice Erlang/OTP a la versión 28.4.3 o superior, o a las versiones corregidas correspondientes (10.6.3 para kernel 3.0, 10.2.7.4 para kernel 10.2, 9.2.4.11 para kernel 9.2). Esta actualización mitiga la vulnerabilidad de envenenamiento de caché DNS al implementar una generación de ID de transacción más segura y aleatorización del puerto de origen.
漏洞分析和关键警报直接发送到您的邮箱。
这是一种攻击,攻击者将虚假 DNS 数据插入 DNS 服务器的缓存中,将流量重定向到恶意网站。
所有早于包含 CVE-2026-28810 修复程序的版本都存在漏洞。 请参阅 Erlang/OTP 发布说明以获取更多详细信息。
实施临时缓解措施,例如防火墙和 DNS 日志监控。
检查安装的 Erlang/OTP 版本,并将其与已修补的版本进行比较。
网络监控工具和日志分析工具可以帮助检测可疑的 DNS 流量模式。