NLnet Labs Unbound up to and including version 1.25.0 has a denial of service vulnerability in the DNSSEC validator that can lead to a crash given malicious upstream replies. When Unbound constructs chase-reply messages for validation, the code uses the wrong counter to calculate write offsets for ADDITIONAL section rrsets. DNAME duplication could increase the ANSWER section count and authority filtering could decrease the AUTHORITY section count and create an uninitialized array slot. Combining these two, the validator later dereferences this uninitialized pointer, causing an immediate process crash. An adversary controlling a DNSSEC-signed domain can trigger this bug with a single query by configuring a DNAME chain with unsigned CNAMEs and a response containing unsigned AUTHORITY records alongside signed ADDITIONAL glue records. Unbound 1.25.1 contains a patch with a fix to use the proper counters to calculate the write offsets.
NLnet Labs Unbound versions up to 1.25.0 contain a denial of service vulnerability in DNSSEC validation that causes process crashes through malicious upstream DNS replies. An attacker controlling a DNSSEC-signed domain can trigger the vulnerability with a specially crafted query containing DNAME chains and unsigned CNAME records.
تحتوي ثغرة CVE-2026-42959 على خلل في حساب إزاحات الكتابة لسجلات قسم ADDITIONAL عند بناء رسائل التحقق من DNSSEC. يمكن لمهاجم يتحكم في مجال موقع DNSSEC موقع تشغيل الثغرة من خلال سلسلة DNAME تحتوي على سجلات CNAME غير موقعة وسجلات AUTHORITY غير موقعة. يؤدي هذا إلى إلغاء مؤشر غير مهيأ وانهيار فوري لعملية Unbound.
إصدارات NLnet Labs Unbound حتى 1.25.0 تحتوي على ثغرة حجب الخدمة في التحقق من DNSSEC التي تسبب انهيار العملية من خلال ردود DNS خبيثة من المنبع. يمكن لمهاجم يتحكم في مجال موقع DNSSEC تشغيل الثغرة باستخدام استعلام مصمم خصيصاً يحتوي على سلاسل DNAME وسجلات CNAME غير موقعة.
Upgrade NLnet Labs Unbound to version 1.25.1 or later immediately. Organizations should prioritize patching DNS infrastructure as this vulnerability affects core DNS security validation. Implement network segmentation to limit exposure from untrusted upstream DNS servers and monitor for unexpected DNS resolver crashes.
قم بترقية NLnet Labs Unbound إلى الإصدار 1.25.1 أو أحدث على الفور. يجب على المنظمات إعطاء الأولوية لتصحيح بنية DNS الأساسية لأن هذه الثغرة تؤثر على التحقق الأساسي من أمان DNS. قم بتنفيذ تقسيم الشبكة لتحديد التعرض من خوادم DNS المنبع غير الموثوقة ومراقبة انهيارات محلل DNS غير المتوقعة.