作为 CNCF 孵化 项目使我们有资格获得一些好东西,如安全评估(提示不祥的音乐)。
CNCF 要求 Cure53 执行此类评估。
较短的版本:CoreDNS 运行良好,但 Cure53 确实发现了一个关键问题(我们在 CoreDNS 1.1.1 版本中已修复该问题)
DNS-01-003 缓存:通过恶意响应造成 DNS 缓存投毒(严重)
CoreDNS 应用程序允许通过缓存插件配置 DNS 响应的缓存。发现 CoreDNS 只验证事务 ID,但未能检查请求中的域是否与响应匹配。这可以被用来在 DNS 服务器的缓存中注入恶意 A 记录。由于 CoreDNS 应用程序为每个域设置了不同的缓存
发现的另外三个问题将通过 GitHub 问题进行跟踪,例如 plugin/rewrite:日志旁路 和 [plugin/secondary:通过无尽区域传输拒绝服务](plugin/secondary:通过无尽区域传输拒绝服务)。第三个是通用 DDoS。
积极的一点是,最终报告包括如下引语
Cure53 在 2018 年 3 月评估期间测试的 CoreDNS 软件给人留下了明显积极的印象。
总之,虽然在此 Cure53 评估期间发现了四个问题,但它们通常 - 除一个例外 - 是次要的、杂项的和可管理的。尽管 Cure53 测试人员付出了相当大的努力,但发现该软件很难损坏。因此,CoreDNS 项目脱颖而出,安全、稳健且合法地注重安全。
可以在 此处 找到完整报告。关于 CoreDNS 中的未来改进:我们将增加模糊测试的使用、增加测试覆盖范围,并更仔细地研究 DNS DoS 缓解措施,例如 DNS Cookies(在 RFC 7873 中描述)。