CVE-2021-40083
https://notcve.org/view.php?id=CVE-2021-40083
Knot Resolver before 5.3.2 is prone to an assertion failure, triggerable by a remote attacker in an edge case (NSEC3 with too many iterations used for a positive wildcard proof). Knot Resolver versiones anteriores a 5.3.2, es propenso a un fallo de aserción, desencadenado por un atacante remoto en un caso límite (NSEC3 con demasiadas iteraciones usadas para una prueba de comodín positiva). • https://gitlab.nic.cz/knot/knot-resolver/-/merge_requests/1169 • CWE-617: Reachable Assertion •
CVE-2020-12667
https://notcve.org/view.php?id=CVE-2020-12667
Knot Resolver before 5.1.1 allows traffic amplification via a crafted DNS answer from an attacker-controlled server, aka an "NXNSAttack" issue. This is triggered by random subdomains in the NSDNAME in NS records. Knot Resolver versiones anteriores a 5.1.1, permite la amplificación del tráfico mediante una respuesta DNS diseñada desde un servidor controlado por el atacante, también se conoce como un problema de "NXNSAttack". Esto es activado por subdominios aleatorios en los registros NS en NSDNAME. • http://cyber-security-group.cs.tau.ac.il/# http://www.openwall.com/lists/oss-security/2020/05/19/2 https://en.blog.nic.cz/2020/05/19/nxnsattack-upgrade-resolvers-to-stop-new-kind-of-random-subdomain-attack https://lists.debian.org/debian-lts-announce/2024/04/msg00017.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/76Y4FITMOH6RVPWAANGV7NB2ZHPJJGDQ https://www.knot-resolver.cz/2020-05-19-knot-resolver-5.1.1.html • CWE-400: Uncontrolled Resource Consumption •
CVE-2019-19331
https://notcve.org/view.php?id=CVE-2019-19331
knot-resolver before version 4.3.0 is vulnerable to denial of service through high CPU utilization. DNS replies with very many resource records might be processed very inefficiently, in extreme cases taking even several CPU seconds for each such uncached message. For example, a few thousand A records can be squashed into one DNS message (limit is 64kB). knot-resolver versiones anteriores a 4.3.0, es vulnerable a una denegación de servicio por medio de una alta utilización de la CPU. Las respuestas de DNS con muchos registros de recursos podrían ser procesadas de manera muy ineficiente, en casos extremos, tomar incluso varios segundos de CPU para cada mensaje no almacenado en caché. Por ejemplo, algunos miles de registros A pueden ser agrupados en un mensaje DNS (el límite es 64kB). • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-19331 https://lists.debian.org/debian-lts-announce/2024/04/msg00017.html https://www.knot-resolver.cz/2019-12-04-knot-resolver-4.3.0.html • CWE-404: Improper Resource Shutdown or Release CWE-407: Inefficient Algorithmic Complexity •
CVE-2019-10191
https://notcve.org/view.php?id=CVE-2019-10191
A vulnerability was discovered in DNS resolver of knot resolver before version 4.1.0 which allows remote attackers to downgrade DNSSEC-secure domains to DNSSEC-insecure state, opening possibility of domain hijack using attacks against insecure DNS protocol. Se detectó una vulnerabilidad en la resolución de DNS de knot resolver anteriores a la versión 4.1.0, que permite a los atacantes remotos degradar los dominios seguros de DNSSEC a un estado no seguro de DNSSEC, abriendo la posibilidad de un secuestro de dominio mediante el uso de ataques contra el protocolo DNS no seguro. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10191 https://lists.debian.org/debian-lts-announce/2024/04/msg00017.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TMSSWBHINIX4WE6UDXWM66L7JYEK6XS6 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VZV5YZZ5766UIG2TFLFJL6EESQNAP5X5 https://www.knot-resolver.cz/2019-07-10-knot-resolver-4.1.0.html • CWE-20: Improper Input Validation •
CVE-2019-10190
https://notcve.org/view.php?id=CVE-2019-10190
A vulnerability was discovered in DNS resolver component of knot resolver through version 3.2.0 before 4.1.0 which allows remote attackers to bypass DNSSEC validation for non-existence answer. NXDOMAIN answer would get passed through to the client even if its DNSSEC validation failed, instead of sending a SERVFAIL packet. Caching is not affected by this particular bug but see CVE-2019-10191. Se detectó una vulnerabilidad en el componente de resolución de DNS de knot resolver hasta la versión 3.2.0 anterior a 4.1.0, que permite a los atacantes remotos omitir la comprobación DNSSEC para una respuesta de no existencia. La respuesta NXDOMAIN se pasaría hacia el cliente incluso si fallara la comprobación DNSSEC, en lugar de enviar un paquete SERVFAIL. • https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-10190 https://lists.debian.org/debian-lts-announce/2024/04/msg00017.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TMSSWBHINIX4WE6UDXWM66L7JYEK6XS6 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VZV5YZZ5766UIG2TFLFJL6EESQNAP5X5 https://www.knot-resolver.cz/2019-07-10-knot-resolver-4.1.0.html • CWE-20: Improper Input Validation •