NLnet Labs Unbound 1.14.0 up to and including version 1.25.0 has a vulnerability that results in heap overflow when encoding multiple NSID and/or DNS Cookie EDNS and/or EDNS Padding options in the reply packet. The relevant options ('nsid', 'answer-cookie', 'pad-responses' (default)) need to be enabled for the vulnerability to be exploited. An adversary who can query Unbound can exploit the vulnerability by attaching multiple NSID and/or DNS Cookie EDNS and/or EDNS Padding options to the query. A flaw in the size calculation of the EDNS field truncates the correct value which allows the encoder to overflow the available space when writing. Those two combined lead to a heap overflow write of Unbound controlled data and eventually a crash. Unbound 1.25.1 contains a patch with a fix to de-duplicate the EDNS options and a fix to prevent truncation of the EDNS field size calculation.
NLnet Labs Unbound versions 1.14.0 through 1.25.0 contain a heap overflow vulnerability in EDNS option encoding when multiple NSID, DNS Cookie, or Padding options are present in DNS replies. An attacker can exploit this by sending specially crafted queries to cause denial of service or potential code execution.
تحتوي ثغرة CVE-2026-42944 على خلل في حساب حجم حقل EDNS يؤدي إلى تجاوز الذاكرة عند ترميز خيارات متعددة. يمكن لأي مهاجم يمكنه الوصول إلى محلل DNS استغلال هذه الثغرة بإرسال استعلامات DNS مصممة خصيصاً تحتوي على خيارات EDNS متعددة.
إصدارات NLnet Labs Unbound من 1.14.0 إلى 1.25.0 تحتوي على ثغرة تجاوز الذاكرة في ترميز خيارات EDNS عند وجود خيارات متعددة في ردود DNS. يمكن للمهاجم استغلال هذا بإرسال استعلامات مصممة خصيصاً لإحداث رفض الخدمة.
Upgrade NLnet Labs Unbound to version 1.25.1 or later immediately. Disable unnecessary EDNS options (nsid, answer-cookie, pad-responses) if not required for operations. Implement network-level filtering to restrict DNS queries from untrusted sources. Monitor DNS resolver logs for suspicious query patterns with multiple EDNS options.
قم بترقية NLnet Labs Unbound إلى الإصدار 1.25.1 أو أحدث فوراً. عطّل خيارات EDNS غير الضرورية إذا لم تكن مطلوبة. طبّق تصفية على مستوى الشبكة لتقييد استعلامات DNS من المصادر غير الموثوقة. راقب سجلات محلل DNS للأنماط المريبة.