GLSA-202212-02 : Unbound：多个漏洞

medium Nessus 插件 ID 168909

语言：

描述

远程主机受到 GLSA-202212-02 中所述漏洞的影响（Unbound：多个漏洞）

- NLnet Labs Unbound 1.16.1 及之前所有版本容易受到新型幽灵域名攻击。该漏洞以 Unbound 实例为目标。攻击者可使用 Unbound 查询恶意域名的子域。恶意名称服务器会返回该子域的委派信息并更新 Unbound 的委派缓存。通过向 Unbound 查询恶意名称服务器提供新委派信息的二级子域，可在委派信息到期之前重复此操作。由于 Unbound 是以子进程为中心的解析器，因此不断更新的子进程委派信息可使恶意域名在撤销后很长时间内仍可解析。从 1.16.2 版起，Unbound 会先检查父委派记录的有效性，然后再使用缓存的委派信息。
(CVE-2022-30698)

- NLnet Labs Unbound 1.16.1 及之前所有版本容易受到新型幽灵域名攻击。该漏洞以 Unbound 实例为目标。当缓存的委派信息即将到期时，攻击者可向 Unbound 查询恶意域名。恶意名称服务器延迟响应，使缓存的委派信息过期。收到包含委派信息的延迟应答时，Unbound 将覆盖现已过期的条目。当委派信息即将到期时，可重复此操作，从而使恶意委派信息不断更新。从 1.16.2 版起，Unbound 将存储查询的开始时间，并使用该时间来决定是否可以覆盖缓存的委派信息。(CVE-2022-30699)

- 在多个 DNS 解析软件中发现名为“无响应委派攻击”（NRDelegation 攻击）的漏洞。NRDelegation 攻击的原理是将恶意委派与大量无响应的名称服务器配合使用。此攻击首先会查询解析器中是否有依赖无响应的名称服务器的记录。此攻击可造成解析器花费大量时间/资源来解析驻留大量无响应 NS 记录的恶意委派点下的记录。它会在某些解析器实现中触发高 CPU 使用率，这些实现会不断在缓存中查找该委派中已解析的 NS 记录。这会导致性能下降，并最终在精心编排的攻击中发生拒绝服务。Unbound 不会受到高 CPU 使用率的影响，但解析恶意委派仍然需要资源。Unbound 会不断尝试解析该记录，直至达到硬性限制。根据攻击的性质和回复，可能达到不同的限制。从 1.16.3 版本开始，Unbound 引入了多项补丁，通过减少名称服务器发现和 DNSKEY 预取的机会查询以及限制委派点针对缺失的记录发出缓存查找的次数，可在负载不足时提高性能。
(CVE-2022-3204)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。