漏洞信息
# 域名劫持漏洞:权威记录配置不安全
## 概述
NLnet Labs Unbound 在版本 1.24.0 及之前存在安全漏洞,可能导致域名劫持攻击。
## 影响版本
- Unbound ≤ 1.24.0
## 细节
- 恶意攻击者可利用 DNS 响应中的 **不请自来的 NS RRSets**(以及可能包含的地址记录)来误导解析器更新其区域的委派信息。
- 这类 RRSets 通常用于刷新解析器对区域权威服务器的认知。
- 攻击者可通过伪装数据包或利用分片攻击等方式注入恶意 NS RRSets。
- Unbound 会基于信任机制更新已有的 NS RRSet 数据,从而导致解析器接受错误的委派信息。
## 影响
- 解析器可能被诱导更新错误的 NS 记录,从而将后续查询引导至攻击者控制的服务器。
- 此行为可能导致 **DNS 缓存污染(DNS cache poisoning)**,进而引发域名劫持。
## 修复
- Unbound 1.24.1 版本已修复此问题,增强对 DNS 回复中附带的 NS RRSets 及其地址记录的检查,拒绝不请自来的 RRSets。
- 修复方式:对非必要或非授权的 NS 记录进行清理,防止其污染现有的正确委派信息。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Possible domain hijacking via promiscuous records in the authority section
漏洞描述信息
NLnet Labs Unbound up to and including version 1.24.0 is vulnerable to possible domain hijack attacks. Promiscuous NS RRSets that complement positive DNS replies in the authority section can be used to trick resolvers to update their delegation information for the zone. Usually these RRSets are used to update the resolver's knowledge of the zone's name servers. A malicious actor can exploit the possible poisonous effect by injecting NS RRSets (and possibly their respective address records) in a reply. This could be done for example by trying to spoof a packet or fragmentation attacks. Unbound would then proceed to update the NS RRSet data it already has since the new data has enough trust for it, i.e., in-zone data for the delegation point. Unbound 1.24.1 includes a fix that scrubs unsolicited NS RRSets (and their respective address records) from replies mitigating the possible poison effect.
CVSS信息
N/A
漏洞类别
在可信数据中接受外来的不可信数据
漏洞标题
NLnet Labs Unbound 安全漏洞
漏洞描述信息
NLnet Labs Unbound是NLnet Labs开源的一个高性能DNS解析器。 NLnet Labs Unbound 1.24.0及之前版本存在安全漏洞,该漏洞源于未清理未经请求的NS记录集,可能导致域名劫持攻击。
CVSS信息
N/A
漏洞类别
其他