Vulnerabilidad en CoreDNS (CVE-2025-47950)

CoreDNS es un servidor DNS que encadena complementos. En versiones anteriores a la 1.12.2, existía una vulnerabilidad de denegación de servicio (DoS) en la implementación del servidor DNS sobre QUIC (DoQ) de CoreDNS. Anteriormente, el servidor creaba una nueva goroutine para cada flujo QUIC entrante sin imponer ningún límite en el número de flujos o goroutines simultáneos. Un atacante remoto no autenticado podría abrir un gran número de flujos, lo que provocaría un consumo de memoria descontrolado y, eventualmente, un fallo por falta de memoria (OOM), especialmente en entornos contenedorizados o con memoria limitada. El parche de la versión 1.12.2 introduce dos mecanismos clave de mitigación: `max_streams`, que limita el número de flujos QUIC simultáneos por conexión con un valor predeterminado de `256`; y `worker_pool_size`, que introduce un grupo de trabajadores limitado a nivel de servidor para procesar los flujos entrantes con un valor predeterminado de `1024`. Esto elimina el modelo 1:1 de flujo a go-rutina y garantiza la resiliencia de CoreDNS en condiciones de alta concurrencia. Existen soluciones alternativas para quienes no puedan actualizar. Desactive la compatibilidad con QUIC eliminando o comentando el bloque `quic://` en el Corefile, utilice los límites de recursos del contenedor en tiempo de ejecución para detectar y aislar el uso excesivo de memoria, o monitoree los patrones de conexión de QUIC y alerte sobre anomalías.