NLnet Labs Unbound 1.14.0 up to and including version 1.25.0 has a locking inconsistency vulnerability that when certain conditions are met (multi-threaded, RPZ XFR reload, RPZ zone with 'rpz-nsip'/'rpz-nsdname' triggers) it could result in heap use-after-free and eventual crash. An adversary can exploit the vulnerability if conditions are first met on a vulnerable Unbound, i.e., multi-threaded, an RPZ zone with 'rpz-nsip'/'rpz-nsdname' triggers and an ongoing XFR for that RPZ zone. Local RPZ files do not trigger the vulnerability. If the timing is right and an XFR happens at the same time another thread needs to read that RPZ zone, the reader may not hold the lock long enough and the thread applying the XFR may free objects that the reader is about to walk causing the use-after-free. Unbound 1.25.1 contains a patch with a fix to the locking code.
NLnet Labs Unbound versions 1.14.0 through 1.25.0 contain a locking inconsistency vulnerability in multi-threaded configurations with RPZ XFR reloads that can cause heap use-after-free and crash. The vulnerability requires specific conditions: multi-threaded operation, RPZ zones with 'rpz-nsip'/'rpz-nsdname' triggers, and concurrent XFR operations, which is patched in version 1.25.1.
تؤثر هذه الثغرة على خوادم DNS Unbound المستخدمة في البيئات متعددة الخيوط مع تفعيل Response Policy Zones (RPZ). عندما يحدث تحديث XFR لمنطقة RPZ في نفس الوقت الذي تحاول فيه خيط آخر قراءة البيانات، قد لا يتم الاحتفاظ بالقفل بشكل صحيح مما يؤدي إلى استخدام الذاكرة بعد تحريرها. هذا يمكن أن يسبب تعطل الخدمة وانقطاع الخدمة.
إصدارات NLnet Labs Unbound من 1.14.0 إلى 1.25.0 تحتوي على ثغرة عدم اتساق القفل في التكوينات متعددة الخيوط مع إعادة تحميل RPZ XFR التي قد تسبب استخدام الذاكرة بعد التحرير والتعطل. تتطلب الثغرة شروطاً محددة: التشغيل متعدد الخيوط وعناصر RPZ مع مشغلات 'rpz-nsip'/'rpz-nsdname' والعمليات المتزامنة، وهو مصحح في الإصدار 1.25.1.
Upgrade NLnet Labs Unbound to version 1.25.1 or later immediately. For organizations unable to upgrade immediately, disable multi-threaded operation or RPZ zones with 'rpz-nsip'/'rpz-nsdname' triggers as temporary mitigations. Monitor DNS resolver logs for unexpected crashes or service interruptions.
قم بترقية NLnet Labs Unbound إلى الإصدار 1.25.1 أو أحدث على الفور. للمنظمات غير القادرة على الترقية فوراً، قم بتعطيل التشغيل متعدد الخيوط أو عناصر RPZ مع مشغلات 'rpz-nsip'/'rpz-nsdname' كتدابير مؤقتة. راقب سجلات محلل DNS للتعطل غير المتوقع أو انقطاع الخدمة.