2009年11月24日,美国CERT(国家互联网应急中心)发布DNSSEC的一个弱点-VU#418861(从附加数据中更新缓存)。如果一个启用了递归查询的名称服务器同时启用了DNSSEC的验证功能的缓存可能被污染。 存在这个弱点的名称服务器会在为客户端做递归查询的时候将查询到的结果中的附加数据当作一条记录添加到自己的缓存。

这个行为仅仅发生在名称服务器是对DNSSEC记录做查询并且不检查查询到的数据的时候。如果该名称服务器是授权名称服务器则该问题不会发生。

NIOS在以上提到的情景中也存在可以被攻击的弱点。目前Infoblox已经针对该弱点做过修复。使用DNSSEC的客户必须升级到以下版本(包括以后的版本)以修复该弱点。

  • 4.3r4-6 (ETA: 11/25/09)
  • 4.3r5-6
  • 4.3r6-3