Когда опция Early_acl_drop (earlyACLDrop в Lua) отключена (по умолчанию включена) в интерфейсе DNS over HTTPs с использованием провайдера nghttp2, проверка ACL пропускается, что позволяет всем клиентам отправлять запросы DoH независимо от настроенного ACL.
Показать оригинальное описание (EN)
When the early_acl_drop (earlyACLDrop in Lua) option is disabled (default is enabled) on a DNS over HTTPs frontend using the nghttp2 provider, the ACL check is skipped, allowing all clients to send DoH queries regardless of the configured ACL.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты
powerdns:dnsdist