つみかさね

CVE-2026-35579

Critical(9.8)

CVE-2026-35579 — CoreDNS TSIG認証バイパスによるDNS応答改ざん

公開日: 2026-05-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
CoreDNSCoreDNS Project< 1.14.3

対応ガイド

high|対応必須セキュリティ修正影響: 極めて広範

推奨アクション

  1. 1Kubernetesクラスタ内のCoreDNSバージョンを確認する
  2. 2CoreDNS 1.14.3未満であれば、1.14.3以降へアップデートする
  3. 3TSIG認証を使用している場合は、gRPC/QUIC/DoHトランスポートの利用状況を確認する
  4. 4アップデートが即時困難な場合は、TSIG必須環境でのgRPC/QUIC/DoH使用を一時停止する

影響対象

CoreDNSを利用するKubernetesクラスタ

補足

  • -同日に公開されたCoreDNSの脆弱性が他に4件あり、すべて1.14.3で修正されています
CVECoreDNSKubernetesDNS認証バイパス

概要

CoreDNSはKubernetesのデフォルトDNSサーバーとして広く採用されている、Go製の高性能DNSサーバーです。

本脆弱性は、CoreDNSのTSIG(Transaction SIGnature)認証機能において、gRPC、QUIC、DoH(DNS over HTTPS)、DoH3トランスポート経由のリクエストに対してTSIG検証が完全にスキップされる問題です。TSIGはDNSトランザクションの完全性を保証するための署名メカニズムですが、平文DNS以外のトランスポートでは認証処理が呼び出されません。

この結果、攻撃者はTSIG認証で保護されているはずのDNS応答を改ざんできます。Kubernetesクラスタ内でCoreDNSをTSIG付きで運用している場合、サービスディスカバリの改ざんを通じて中間者攻撃に発展する可能性があります。

本脆弱性は同日に公開されたCoreDNSの5件の脆弱性のうち最も深刻度が高いものです。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-287 (不適切な認証)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
CoreDNSCoreDNS Project< 1.14.3

修正バージョンと回避策

  • 修正バージョン: CoreDNS 1.14.3 にアップデートしてください
  • 回避策: TSIG認証が必須な環境では、gRPC/QUIC/DoHトランスポートの使用を一時的に停止し、平文DNSのみを使用してください
  • 確認方法: kubectl get pods -n kube-system -l k8s-app=kube-dns -o jsonpath='{.items[*].spec.containers[*].image}' でCoreDNSのバージョンを確認できます

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-32934CoreDNS DoQ 無制限リソース消費CVSS 7.5CVE-2026-32936CoreDNS DoH GET オーバーサイズクエリDoSCVSS 7.5CVE-2026-33190CoreDNS TSIG プラグインバイパスCVSS 7.5CVE-2026-33489CoreDNS Transfer ACL選択誤りCVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-35579
GHSA:https://github.com/coredns/coredns/security/advisories/GHSA-vp29-5652-4fw9
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。