📄 الوصف (الإنجليزية)
Dnss Domain Name Search Software contains a denial of service vulnerability that allows attackers to crash the application by providing an oversized registration key. Attackers can generate a 1000-character buffer payload and paste it into the registration key field to trigger an application crash.
🤖 ملخص AI
CVE-2020-37196 is a denial of service vulnerability in Dnss Domain Name Search Software that allows attackers to crash the application by submitting an oversized registration key (1000+ characters). With a CVSS score of 7.5 and publicly available exploits, this vulnerability poses a significant availability risk to organizations using this software. A patch is available and should be applied immediately to prevent service disruption.
📄 الوصف (العربية)
🤖 التحليل الذكي آخر تحليل: Apr 30, 2026 19:36
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability primarily impacts Saudi organizations in the telecommunications sector (STC, Mobily) and ISPs that may use Dnss Domain Name Search Software for DNS management and domain registration services. Government agencies (NCA, CITC) managing critical DNS infrastructure and financial institutions relying on domain name services for online banking platforms are also at risk. The denial of service capability could disrupt critical domain name resolution services, affecting business continuity and customer access to online services.
🏢 القطاعات السعودية المتأثرة
Telecommunications (STC, Mobily, Zain)
Internet Service Providers
Government (NCA, CITC)
Banking and Financial Services
Healthcare (MOH)
Energy Sector
🎯 تقنيات MITRE ATT&CK
⚖️ درجة المخاطر السعودية (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
1. IMMEDIATE ACTIONS:
- Identify all systems running Dnss Domain Name Search Software in your environment
- Implement network-level input validation to reject registration key submissions exceeding 256 characters
- Restrict access to the registration key field to authorized administrators only
- Monitor application logs for repeated failed registration attempts or oversized input submissions
2. PATCHING GUIDANCE:
- Download and apply the latest patch from NSA Soft immediately
- Test the patch in a non-production environment before deployment
- Schedule patching during maintenance windows to minimize service disruption
- Verify patch installation by checking application version and testing with oversized input
3. COMPENSATING CONTROLS (if patch unavailable):
- Deploy Web Application Firewall (WAF) rules to block requests with registration keys exceeding safe length limits
- Implement rate limiting on registration key submission endpoints
- Use application-level input validation to truncate or reject oversized keys
4. DETECTION RULES:
- Monitor for HTTP requests with registration key parameters exceeding 256 characters
- Alert on application crash events correlated with registration key submissions
- Track failed registration attempts with unusual input patterns
- Log all registration key modifications for audit purposes
🔧 خطوات المعالجة (العربية)
1. الإجراءات الفورية:
- تحديد جميع الأنظمة التي تقوم بتشغيل برنامج Dnss Domain Name Search Software في بيئتك
- تطبيق التحقق من صحة المدخلات على مستوى الشبكة لرفض تقديمات مفتاح التسجيل التي تتجاوز 256 حرفاً
- تقييد الوصول إلى حقل مفتاح التسجيل للمسؤولين المصرحين فقط
- مراقبة سجلات التطبيق للمحاولات المتكررة الفاشلة أو تقديمات المدخلات المفرطة
2. إرشادات التصحيح:
- تحميل وتطبيق أحدث تصحيح من NSA Soft فوراً
- اختبار التصحيح في بيئة غير إنتاجية قبل النشر
- جدولة التصحيح خلال نوافذ الصيانة لتقليل انقطاع الخدمة
- التحقق من تثبيت التصحيح بفحص إصدار التطبيق واختباره بمدخلات مفرطة
3. الضوابط البديلة (إذا لم يتوفر التصحيح):
- نشر قواعد جدار حماية تطبيقات الويب (WAF) لحجب الطلبات التي تحتوي على مفاتيح تسجيل تتجاوز حدود الطول الآمن
- تطبيق تحديد معدل على نقاط نهاية تقديم مفتاح التسجيل
- استخدام التحقق من صحة المدخلات على مستوى التطبيق لقطع أو رفض المفاتيح المفرطة
4. قواعد الكشف:
- مراقبة طلبات HTTP مع معاملات مفتاح التسجيل التي تتجاوز 256 حرفاً
- التنبيه على أحداث انهيار التطبيق المرتبطة بتقديمات مفتاح التسجيل
- تتبع محاولات التسجيل الفاشلة مع أنماط مدخلات غير عادية
- تسجيل جميع تعديلات مفتاح التسجيل لأغراض التدقيق
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC 2024 A.12.6.1 - Management of technical vulnerabilities
ECC 2024 A.12.2.1 - Change management procedures
ECC 2024 A.12.1.2 - Monitoring of system use
🔵 SAMA CSF
SAMA CSF ID.BE-1 - Asset management and inventory
SAMA CSF PR.IP-3 - Configuration management
SAMA CSF DE.CM-1 - System monitoring and anomaly detection
🟡 ISO 27001:2022
ISO 27001:2022 A.12.2.1 - Change management
ISO 27001:2022 A.12.6.1 - Management of technical vulnerabilities
ISO 27001:2022 A.14.2.1 - Secure development policy
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security patches and updates
PCI DSS 11.2 - Vulnerability scanning
🔗 المراجع والمصادر 3
📦 المنتجات المتأثرة 1 منتج
nsasoft:domain_name_search_software:-