CVE-2026-42923 in Unboundinfo

Zusammenfassung

von VulDB • 20.05.2026

NLnet Labs Unbound bis einschließlich Version 1.25.0 weist eine Schwachstelle im DNSSEC-Validator auf, bei der der Codepfad zur Abfrage des negativen Caches für DS-Einträge die seit Version 1.19.1 eingeführte Begrenzung der NSEC3-Hashberechnungen nicht berücksichtigt. Dies führt während eines Angriffs zu einer Beeinträchtigung des Dienstes. Ein Angreifer, der eine DNSSEC-signierte Zone kontrolliert, kann dies ausnutzen, indem er NSEC3-Einträge für untergeordnete Delegierungen mit akzeptabel hohen Iterationen signiert und einen anfälligen Unbound abfragt. Unbound führt weiterhin die zulässigen Hash-Berechnungen für die NSEC3-Einträge durch und beschränkt die Arbeitslast nicht durch die in Version 1.19.1 eingeführte Abhilfemaßnahme. Als Nebeneffekt wird ein globaler Sperrmechanismus für den negativen Cache während der gesamten Hash-Berechnung gehalten, wodurch andere Threads blockiert werden, die den negativen Cache abfragen müssen. Koordinierte Angriffe können die Schwachstelle zu einem Denial-of-Service (DoS) eskalieren lassen. Unbound 1.25.1 enthält einen Patch mit einer Korrektur, die den anfälligen Codepfad durch die bestehende Begrenzung für NSEC3-Hash-Berechnungen einschränkt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

NLnet Labs

Reservieren

07.05.2026

Veröffentlichung

20.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364850

CPE

bereit

EPSS

0.00057

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42923
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42923
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42923/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!