CVE-2026-33258 CVSS 5.3 中危

CVE-2026-33258 PowerDNS Recursor 拒绝服务漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33258

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PowerDNS Recursor

漏洞概述

CVE-2026-33258 是 PowerDNS Recursor 中的一个安全漏洞。攻击者可以通过发布并查询精心构造的区域数据，利用 NSEC(3) 缓存机制中的缺陷，导致服务器在负向缓存和激进缓存中分配过大的内存条目。这种资源消耗行为可能导致服务性能下降甚至拒绝服务。该漏洞无需认证且无需用户交互即可通过网络被利用，具有一定的攻击风险。

技术细节

该漏洞的根源在于 PowerDNS Recursor 对 DNSSEC NSEC 及 NSEC3 记录的处理逻辑。在 DNSSEC 验证过程中，解析器需要处理证明域名不存在的 NSEC(3) 记录并将其缓存。攻击者可以控制一个恶意的权威域名服务器，并配置特殊的区域文件。当 PowerDNS Recursor 向该恶意服务器查询不存在的域名时，恶意服务器返回经过特殊构造的 NSEC(3) 响应。由于解析器在处理这些响应时未能正确校验数据大小或逻辑，导致其在缓存这些条目时分配了异常巨大的内存空间。通过重复发送此类请求，攻击者可以迅速耗尽目标 DNS 服务器的内存资源，从而造成服务拒绝。

攻击链分析

STEP 1

步骤1：环境准备

攻击者搭建一个恶意的权威 DNS 服务器，并在其中配置包含特定 NSEC(3) 记录的构造区域。

STEP 2

步骤2：触发查询

攻击者向目标 PowerDNS Recursor 发送针对该恶意区域中不存在域名的 DNS 查询请求。

STEP 3

步骤3：接收恶意响应

PowerDNS Recursor 转发查询，恶意服务器返回特制的 NSEC(3) 记录响应。

STEP 4

步骤4：资源耗尽

目标 Recursor 在处理并缓存这些记录时，分配了过大的内存空间，最终导致内存耗尽或服务崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import dns.query
import dns.message

# Target PowerDNS Recursor IP
target_ip = "192.0.2.1"
# Malicious domain configured to trigger the issue
domain = "crafted.example.com"

# Create a query for a non-existent subdomain to trigger NSEC(3) lookup
query_name = f"test-nonexistent.{domain}"
query = dns.message.make_query(query_name, 'A')

try:
    # Send the query to the target resolver
    response = dns.query.udp(query, target_ip, timeout=5)
    print(f"Query sent to {target_ip}, response ID: {response.id}")
    # The crafted zone response should trigger large cache allocation
except Exception as e:
    print(f"Error during PoC execution: {e}")

影响范围

PowerDNS Recursor (具体受影响版本请参考官方公告 powerdns-advisory-2026-03)

防御指南

临时缓解措施

在未应用补丁之前，建议通过防火墙限制对 PowerDNS Recursor 的访问源，拒绝外部不可信 IP 的查询请求，以降低被攻击的风险。同时，管理员应密切监控服务器的内存资源使用情况，一旦发现异常峰值应及时重启服务并进行排查。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表