CVE-2026-44608 in Unbound
요약
\~에 의해 VulDB • 2026. 05. 20.
NLnet Labs Unbound 1.14.0부터 1.25.0(포함)까지의 버전에는 잠금 불일치(locking inconsistency) 취약점이 존재합니다. 특정 조건(멀티스레드 환경, RPZ XFR 재로드, 'rpz-nsip'/'rpz-nsdname' 트리거가 있는 RPZ 존)이 충족될 경우, 이는 힙 기반 use-after-free로 이어져 결국 시스템 충돌을 초래할 수 있습니다. 공격자는 취약한 Unbound에서 먼저 조건이 충족될 경우(즉, 멀티스레드 환경, 'rpz-nsip'/'rpz-nsdname' 트리거가 있는 RPZ 존, 해당 RPZ 존에 대한 진행 중인 XFR) 이 취약점을 악용할 수 있습니다. 로컬 RPZ 파일은 이 취약점을 트리거하지 않습니다. 타이밍이 맞고 XFR이 다른 스레드가 해당 RPZ 존을 읽어야 할 때 동시에 발생하면, 읽기 스레드가 잠금을 충분히 오래 유지하지 못해 XFR을 적용하는 스레드가 읽기 스레드가 순회하려고 하는 객체를 해제함으로써 use-after-free가 발생할 수 있습니다. Unbound 1.25.1에는 잠금 코드 수정을 위한 패치가 포함되어 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.