NLnet Labs Unbound 1.6.2 up to and including version 1.25.0 has a denial of service vulnerability when compiled with DNSCrypt support ('--enable-dnscrypt'). A bad DNSCrypt query could underflow Unbound's DNSCrypt packet reading procedure that may lead to heap overflow. A malicious actor can exploit the vulnerability with a single bad DNSCrypt query that its decrypted plaintext consists entirely of '0x00' bytes and does not contain the expected '0x80' marker. Unbound would then start reading more bytes than necessary until it finds a non-'0x00' byte. Based on the underlying memory allocator and the memory layout, it could lead to heap overflow while reading followed by a crash. Likelihood of a crash is low, since it relies heavily on the underlying memory allocator and the memory layout. If the heap overflow does not happen, Unbound's later packet checks will deny the packet. Unbound 1.25.1 contains a patch with a fix to bound reading in the given buffer space.
NLnet Labs Unbound versions 1.6.2 through 1.25.0 contain a denial of service vulnerability in DNSCrypt support where malformed queries with all null bytes can cause heap overflow and potential crashes. The vulnerability requires specific memory conditions to trigger but could impact DNS resolver availability.
تؤثر هذه الثغرة على خوادم DNS التي تستخدم Unbound مع تفعيل دعم DNSCrypt. يمكن لمهاجم إرسال استعلام DNSCrypt مشوه يحتوي على بايتات فارغة فقط مما يسبب قراءة زائدة للذاكرة وتجاوز الكومة المحتملة. احتمالية حدوث عطل منخفضة نسبياً لكنها قد تؤثر على توفر خدمة DNS.
إصدارات NLnet Labs Unbound من 1.6.2 إلى 1.25.0 تحتوي على ثغرة حجب الخدمة في دعم DNSCrypt حيث يمكن للاستعلامات المشوهة التي تحتوي على بايتات فارغة أن تسبب تجاوز الذاكرة والأعطال المحتملة. تتطلب الثغرة شروط ذاكرة محددة للتشغيل ولكن قد تؤثر على توفر محلل DNS.
Update NLnet Labs Unbound to version 1.25.1 or later immediately. If immediate patching is not possible, disable DNSCrypt support by recompiling without the '--enable-dnscrypt' flag or implement network-level filtering to restrict DNSCrypt queries from untrusted sources.
قم بتحديث NLnet Labs Unbound إلى الإصدار 1.25.1 أو أحدث على الفور. إذا لم يكن التصحيح الفوري ممكناً، قم بتعطيل دعم DNSCrypt بإعادة الترجمة بدون علم '--enable-dnscrypt' أو قم بتطبيق تصفية على مستوى الشبكة لتقييد استعلامات DNSCrypt من المصادر غير الموثوقة.