CNCFのインキュベーションプロジェクトであることは、セキュリティアセスメント(不吉な音楽の合図)のような良い対象になるということを示しています。
CNCFはCure53にこのようなアセスメントの実施を依頼しました。
要約: CoreDNSは良好な状態ですが、Cure53は(CoreDNS 1.1.1リリースで修正した)1つの重大な問題を見つけました。
DNS-01-003キャッシュ: 悪意のある応答によるDNSキャッシュポイズニング(重大)
CoreDNSアプリケーションは、キャッシュプラグインによってDNS応答のキャッシュを構成することを許可しています。CoreDNSがトランザクションIDのみを確認し、リクエストのドメインが応答と一致するかどうかを確認していないことが判明しました。これにより、DNSサーバーのキャッシュに悪意のあるAレコードを挿入することが可能になります。CoreDNSアプリケーションはドメインごとに異なるキャッシュを使用するため
他の3つの問題は、plugin/rewrite: ログバイパスや[plugin/secondary: 永続的なゾーン転送によるサービス拒否](plugin/secondary: 永続的なゾーン転送によるサービス拒否)など、GitHubの問題として追跡されます。3つ目は一般的なDDoSでした。
良いニュースとして、最終報告書には次のような引用が含まれています。
2018年3月のアセスメントの際にCure53によってテストされたCoreDNSソフトウェアは、明らかに好印象を与えました。
結論として、このCure53のアセスメントの際に4つの問題が見つかっましたが、一般的には(1つの例外を除き)軽微で、不確定かつ管理可能でした。Cure53のテスト担当者のかなりの努力にもかかわらず、ソフトウェアは破損しにくいことが判明しました。したがって、CoreDNSプロジェクトは安全で、堅牢であり、正当にセキュリティを認識しています。
完全なレポートはこちらからご覧いただけます。CoreDNSの将来的な改善については、ファジングの使用を増加させ、テストカバレッジを増加させ、DNS Cookie(RFC 7873に記載)などのDNS DoSの緩和策を詳しく検討します。