概要
CoreDNSはKubernetesのデフォルトDNSサーバーとして広く採用されている、Go製の高性能DNSサーバーです。
本脆弱性は、CoreDNSのtsigプラグインにおける認証処理の不備に起因します。tsigプラグインは、平文DNS以外のトランスポート(DoT、DoH、DoH3、DoQ、gRPC)経由のリクエストを処理する際、トランスポートラッパーが提供するtsigStatusフィールドの値を信頼し、独自のTSIG検証を行いません。
TSIG(Transaction SIGnature)はDNSトランザクションの完全性と認証を保証するための署名メカニズムです。本来、tsigプラグインはトランスポートの種類にかかわらず独立してTSIG署名を検証すべきですが、暗号化トランスポートを使用する場合にこの検証がスキップされます。
この結果、暗号化トランスポートを経由するリクエストにおいてTSIG認証が機能せず、認証されていないクライアントがTSIG保護されたDNS操作を実行できる可能性があります。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-287 (不適切な認証) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| CoreDNS | CoreDNS Project | < 1.14.3 |
修正バージョンと回避策
- 修正バージョン: CoreDNS 1.14.3 にアップデートしてください
- 回避策: TSIG認証が必須な環境では、暗号化トランスポート(DoT/DoH/DoH3/DoQ/gRPC)の使用を一時的に停止し、平文DNSのみでTSIG認証を運用してください
- 確認方法:
kubectl get pods -n kube-system -l k8s-app=kube-dns -o jsonpath='{.items[*].spec.containers[*].image}'でCoreDNSのバージョンを確認できます
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。