| Title | The CoreDNS AuthorsのCoreDNSにおける認証に関する脆弱性 |
|---|---|
| Summary | CoreDNSはGo言語で書かれたDNSサーバーです。バージョン1.14.3より前のバージョンでは、gRPC、QUIC、DoH、およびDoH3のトランスポート実装においてTSIG認証の処理が正しく行われていません。gRPCおよびQUICの場合、サーバーはTSIGキー名が設定に存在するかを確認しますが、dns.TsigVerify()を呼び出してHMACを検証しません。キー名が設定されたキーと一致すると、tsigStatusフィールドはnilのままで、tsigプラグインはMACの値に関係なくリクエストを認証済みとして処理します。DoHおよびDoH3の場合は問題がさらに深刻で、DoHWriter.TsigStatus()メソッドは無条件にnilを返し、サーバーはTSIGレコードを全く検査しません。TSIGレコードを含むリクエストは、キー名が無効でMACが任意であってもDoHおよびDoH3上で認証済みとして扱われます。認証されていないネットワーク攻撃者はこれを悪用して、AXFR/IXFRゾーン転送、動的DNS更新、その他TSIGで制御されているプラグインの機能をバイパスできます。DoHおよびDoH3のバリアントは、攻撃者が有効なTSIGキー名を知る必要がないため、悪用のハードルが低くなっています。この問題はバージョン1.14.3で修正されています。回避策としては、TSIG認証が必要な場合にgRPC、QUIC、DoH、およびDoH3リスナーを無効化するか、影響を受けるトランスポートポートへのネットワークレベルのアクセスを信頼されたソースのみに制限してください。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 5, 2026, midnight |
| Registration Date | May 11, 2026, 11:10 a.m. |
| Last Update | May 11, 2026, 11:10 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月11日] 掲載 |
May 11, 2026, 11:10 a.m. |
| Summary | CoreDNS is a DNS server written in Go. In versions prior to 1.14.3, the gRPC, QUIC, DoH, and DoH3 transport implementations incorrectly handle TSIG authentication. For gRPC and QUIC, the server checks whether the TSIG key name exists in the configuration but never calls dns.TsigVerify() to validate the HMAC. If the key name matches a configured key, the tsigStatus field remains nil and the tsig plugin treats the request as successfully authenticated regardless of the MAC value. For DoH and DoH3, the issue is more severe: the DoHWriter.TsigStatus() method unconditionally returns nil, and the server never inspects the TSIG record at all. Any request containing a TSIG record is treated as authenticated over DoH and DoH3, even if the key name is invalid and the MAC is arbitrary. An unauthenticated network attacker can exploit this to bypass TSIG-protected functionality such as AXFR/IXFR zone transfers, dynamic DNS updates, or other TSIG-gated plugin behavior. The DoH and DoH3 variants have a lower exploitation bar because the attacker does not need to know a valid TSIG key name. This issue has been fixed in version 1.14.3. As a workaround, disable gRPC, QUIC, DoH, and DoH3 listeners where TSIG authentication is required, or restrict network-level access to affected transport ports to trusted sources only. |
|---|---|
| Publication Date | May 6, 2026, 6:16 a.m. |
| Registration Date | May 7, 2026, 4:07 a.m. |
| Last Update | May 9, 2026, 12:58 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:coredns.io:coredns:*:*:*:*:*:*:*:* | 1.14.3 | ||||