Unbound
Уязвимости
23
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.99995
Распределение по критичности
Критический
8
Высокий
7
Средний
7
Низкий
1
Также сопоставлено как (исходные строки): unbound
Топ уязвимостей
CVE-2019-25042Unbound версий до 1.9.5 допускает запись за пределами выделенной памяти через сжатое имя в rdata_copy. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25039Unbound версий до 1.9.5 допускает переполнение целого числа при вычислении размера в respip/respip.c. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25038Unbound версий до 1.9.5 допускает переполнение целого числа при вычислении размера в dnscrypt/dnscrypt.c. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25036Unbound версий до 1.9.5 допускает сбой утверждения и отказ в обслуживании в synth_cname. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25035Unbound версий до 1.9.5 допускает запись за пределами выделенной памяти в sldns_bget_token_par. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25034Unbound до версии 1.9.5 допускает переполнение целого числа в sldns_str2wire_dname_buf_origin, что приводит к записи за пределами границ. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это является уязвимостью. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25033Unbound до версии 1.9.5 допускает переполнение целого числа в региональном распределителе через макрос ALIGN_UP. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это является уязвимостью. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25032Unbound до версии 1.9.5 допускает переполнение целого числа в региональном распределителе через regional_alloc. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это является уязвимостью. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2025-5994Уязвимость отравления кэша была обнаружена в кэширующих резолверах, поддерживающих EDNS Client Subnet (ECS). Unbound также уязвим при компиляции с поддержкой ECS и настройке на отправку информации ECS на вышестоящие серверы имен. Злоумышленник может эксплуатировать атаку "Rebirthday Attack", отправляя запросы, которые приводят к сегрегированному исходящему трафику ECS от Unbound для одного домена, а затем отправляя вредоносные ответы без ECS, пытаясь угадать идентификатор транзакции DNS [1].
Источники:
- [1] https://nlnetlabs.nl/downloads/unbound/CVE-2025-5994.txt
CVE-2023-50868Аспект Closest Encloser Proof протокола DNS (в RFC 5155, когда руководство RFC 9276 пропущено) позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП для вычислений SHA-1) через ответы DNSSEC в атаке случайного поддомена, также известной как проблема "NSEC3". Спецификация RFC 5155 подразумевает, что алгоритм должен выполнять тысячи итераций хеш-функции в определенных ситуациях.
CVE-2023-50387Некоторые аспекты DNSSEC протокола DNS (в RFC 4033, 4034, 4035, 6840 и связанных RFC) позволяют удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП) через один или несколько ответов DNSSEC, также известный как проблема "KeyTrap". Одна из проблем заключается в том, что, когда есть зона с большим количеством записей DNSKEY и RRSIG, спецификация протокола подразумевает, что алгоритм должен оценивать все комбинации записей DNSKEY и RRSIG.
CVE-2022-3204В различном программном обеспечении для разрешения DNS была обнаружена уязвимость под названием «Атака с не отвечающим делегированием» (NRDelegation Attack). Атака NRDelegation заключается в использовании вредоносного делегирования со значительным количеством не отвечающих серверов имен. Атака начинается с запроса к распознавателю записи, которая зависит от этих не отвечающих серверов имен. Атака может привести к тому, что распознаватель потратит много времени/ресурсов на разрешение записей в точке вредоносного делегирования, где находится значительное количество не отвечающих записей NS. Это может вызвать высокую загрузку ЦП в некоторых реализациях распознавателя, которые постоянно ищут в кэше разрешенные записи NS в этом делегировании. Это может привести к ухудшению производительности и, в конечном итоге, к отказу в обслуживании при организованных атаках. Unbound не страдает от высокой загрузки ЦП, но ресурсы по-прежнему необходимы для разрешения вредоносного делегирования. Unbound будет продолжать попытки разрешить запись до тех пор, пока не будут достигнуты жесткие ограничения. В зависимости от характера атаки и ответов могут быть достигнуты разные ограничения. Начиная с версии 1.16.3 Unbound вводит исправления для повышения производительности при нагрузке, отключая оппортунистические запросы для обнаружения серверов имен и предварительной выборки DNSKEY и ограничивая количество раз, когда точка делегирования может выдавать поиск в кэше отсутствующих записей.
CVE-2019-25041Unbound версий до 1.9.5 допускает сбой утверждения через сжатое имя в dname_pkt_copy. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25040Unbound версий до 1.9.5 допускает бесконечный цикл через сжатое имя в dname_pkt_copy. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2019-25037Unbound версий до 1.9.5 допускает сбой утверждения и отказ в обслуживании в dname_pkt_copy через недопустимый пакет. ПРИМЕЧАНИЕ: Поставщик оспаривает, что это уязвимость. Хотя код может быть уязвим, работающая установка Unbound не может быть использована удаленно или локально.
CVE-2022-30699NLnet Labs Unbound, вплоть до версии 1.16.1, уязвим для нового типа атаки "ghost domain names". Уязвимость заключается в нацеливании на экземпляр Unbound. К Unbound отправляется запрос на мошенническое доменное имя, когда срок действия кэшированной информации о делегировании подходит к концу. Мошеннический сервер имен задерживает ответ, так что срок действия кэшированной информации о делегировании истекает. После получения задержанного ответа, содержащего информацию о делегировании, Unbound перезаписывает теперь уже устаревшие записи. Это действие можно повторить, когда срок действия информации о делегировании подходит к концу, что делает информацию о мошенническом делегировании постоянно обновляющейся. Начиная с версии 1.16.2 Unbound сохраняет время начала запроса и использует его для определения того, можно ли перезаписать кэшированную информацию о делегировании.
CVE-2022-30698NLnet Labs Unbound, вплоть до версии 1.16.1, уязвим для нового типа атаки "ghost domain names". Уязвимость заключается в нацеливании на экземпляр Unbound. К Unbound отправляется запрос на поддомен мошеннического доменного имени. Мошеннический сервер имен возвращает информацию о делегировании для поддомена, которая обновляет кэш делегирования Unbound. Это действие можно повторить до истечения срока действия информации о делегировании, запросив у Unbound поддомен второго уровня, для которого мошеннический сервер имен предоставляет новую информацию о делегировании. Поскольку Unbound является child-centric resolver, постоянно обновляющаяся информация о делегировании дочернего домена может поддерживать разрешение мошеннического доменного имени в течение длительного времени после отзыва. Начиная с версии 1.16.2 Unbound проверяет действительность записей делегирования родительского домена перед использованием кэшированной информации о делегировании.
CVE-2019-25031Unbound до версии 1.9.5 допускает инъекцию конфигурации в create_unbound_ad_servers.sh при успешной атаке "человек посередине" против сеанса HTTP в открытом тексте. ПРИМЕЧАНИЕ: Поставщик не считает это уязвимостью программного обеспечения Unbound. create_unbound_ad_servers.sh — это скрипт, предоставленный сообществом, который облегчает автоматическое создание конфигурации. Он не является частью установки Unbound.
CVE-2025-11411В версии Unbound ≤ 1.24.0 присутствует уязвимость, позволяющая злоумышленнику внедрять «промискуитетные» NS‑RRSet'ы в секцию authority DNS‑ответа и тем самым подменять делегирование зоны. Такие RRSet'ы обычно используют для обновления сведений о серверах имён зоны, но их внедрение (через подделку пакета или фрагментацию) позволяет отравить кэш Unbound, так как полученные данные считаются достоверными внутри зоны. В результате можно перенаправить запросы к недоверенным серверам.
Для устранения уязвимости в Unbound 1.24.1 реализована очистка нежелательных NS‑RRSet'ов и связанных адресных записей из ответов.
Дополнительные сведения из источника [1].
Источники:
- [1] https://www.nlnetlabs.nl/downloads/unbound/CVE-2025-11411.txt
CVE-2019-18934Unbound 1.6.4–1.9.4 содержит уязвимость в модуле ipsec, которая может вызвать выполнение шелл-кода после получения специально созданного ответа. Эта проблема может быть вызвана только в том случае, если unbound был скомпилирован с поддержкой `--enable-ipsecmod`, а ipsecmod включен и используется в конфигурации.
CVE-2024-8508NLnet Labs Unbound до версии 1.21.0 включительно содержит уязвимость при обработке ответов с очень большими RRset, для которых необходимо выполнить сжатие имен. Вредоносные ответы от вышестоящих серверов с очень большими RRset могут привести к тому, что Unbound будет тратить значительное время на применение сжатия имен к ответам нижестоящим серверам. Это может привести к снижению производительности и, в конечном итоге, к отказу в обслуживании в хорошо организованных атаках. Уязвимость может быть использована злоумышленником, запрашивающим у Unbound специально созданное содержимое вредоносной зоны с очень большими RRset. Прежде чем Unbound ответит на запрос, он попытается применить сжатие имен, которое было неограниченной операцией, которая могла заблокировать ЦП до завершения всего пакета. Версия Unbound 1.21.1 вводит жесткое ограничение на количество вычислений сжатия имен, которые он готов выполнить для каждого пакета. Пакеты, требующие большего сжатия, приведут к полусжатым пакетам или усеченным пакетам, даже по TCP для огромных сообщений, чтобы избежать блокировки ЦП надолго. Это изменение не должно повлиять на нормальный DNS-трафик.
CVE-2020-28935NLnet Labs Unbound до версии 1.12.0 включительно и NLnet Labs NSD до версии 4.3.3 включительно содержат локальную уязвимость, которая может позволить локальную атаку с использованием символических ссылок. При записи PID-файла Unbound и NSD создают файл, если его нет, или открывают существующий файл для записи. В случае, если файл уже присутствует, они будут следовать по символическим ссылкам, если файл окажется символической ссылкой вместо обычного файла. Дополнительная операция chown файла будет выполнена после его записи, сделав пользователя, от имени которого должен запускаться Unbound/NSD, новым владельцем файла. Если злоумышленник имеет локальный доступ к пользователю, от имени которого запускается Unbound/NSD, он может создать символическую ссылку вместо PID-файла, указывающую на файл, который он хотел бы стереть. Если затем Unbound/NSD будет завершен, а PID-файл не будет очищен, при перезапуске с правами root Unbound/NSD перезапишет любой файл, на который указывает символическая ссылка. Это локальная уязвимость, которая может создать отказ в обслуживании системы, на которой работает Unbound/NSD. Для этого требуется, чтобы злоумышленник имел доступ к пользователю с ограниченными правами, от имени которого работает Unbound/NSD, и указал через символическую ссылку на критический файл в системе.
CVE-2024-33655Протокол DNS в RFC 1035 и обновлениях позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ресурсов), организуя накопление DNS-запросов в течение нескольких секунд, так что ответы позже отправляются импульсным всплеском (что в некоторых случаях можно рассматривать как усиление трафика), также известную как проблема "DNSBomb".