Amazon Linux 2 安全更新:修复Unbound DNS解析器中的域劫持漏洞 (CVE-2025-11411)

本文详细介绍了Amazon Linux 2安全公告ALAS2UNBOUND-1.17-2025-007,该公告针对Unbound DNS解析器中的一个中等严重性漏洞。该漏洞可能导致域名劫持攻击,攻击者可通过注入恶意的NS资源记录集来篡改解析器的委托信息。文章说明了漏洞原理、影响范围及修复方法。

Amazon Linux 2 安全公告:ALAS2UNBOUND-1.17-2025-007

公告发布日期: 2025-12-08 公告更新日期: 2025-12-08

严重等级:

参考信息: CVE-2025-11411

问题概述: NLnet Labs Unbound(包括1.24.0及更早版本)存在潜在域名劫持攻击漏洞。在DNS响应的权威区段中,混杂的NS资源记录集(RRSets)可用于欺骗解析器更新其对应区域的委托信息。通常,这些RRSet用于更新解析器对区域名称服务器的认知。恶意行为者可以通过在响应中注入NS RRSets(及其对应的地址记录)来利用此潜在的毒化效应,例如尝试欺骗数据包或进行分片攻击。随后,Unbound会因为新数据具有足够信任度(例如,来自委托点的区内数据)而继续更新其已有的NS RRSet数据。Unbound 1.24.1版本包含了一个修复程序,可从响应中清除未经请求的NS RRSets(及其对应的地址记录),从而缓解潜在的毒化效应。(CVE-2025-11411)

受影响软件包:

  • unbound

注意: 此公告适用于 Amazon Linux 2 - Unbound-1.17 Extra。请访问此页面以了解更多关于Amazon Linux 2 (AL2) Extras的信息,并参阅此FAQ部分了解AL2 Core和AL2 Extras公告之间的区别。

问题修复: 运行 yum update unboundyum update --advisory ALAS2UNBOUND-1.17-2025-007 来更新您的系统。

新软件包: aarch64:

  • unbound-1.17.0-2.amzn2.0.9.aarch64
  • unbound-devel-1.17.0-2.amzn2.0.9.aarch64
  • unbound-libs-1.17.0-2.amzn2.0.9.aarch64
  • unbound-anchor-1.17.0-2.amzn2.0.9.aarch64
  • unbound-utils-1.17.0-2.amzn2.0.9.aarch64
  • python2-unbound-1.17.0-2.amzn2.0.9.aarch64
  • python3-unbound-1.17.0-2.amzn2.0.9.aarch64
  • unbound-debuginfo-1.17.0-2.amzn2.0.9.aarch64

src:

  • unbound-1.17.0-2.amzn2.0.9.src

x86_64:

  • unbound-1.17.0-2.amzn2.0.9.x86_64
  • unbound-devel-1.17.0-2.amzn2.0.9.x86_64
  • unbound-libs-1.17.0-2.amzn2.0.9.x86_64
  • unbound-anchor-1.17.0-2.amzn2.0.9.x86_64
  • unbound-utils-1.17.0-2.amzn2.0.9.x86_64
  • python2-unbound-1.17.0-2.amzn2.0.9.x86_64
  • python3-unbound-1.17.0-2.amzn2.0.9.x86_64
  • unbound-debuginfo-1.17.0-2.amzn2.0.9.x86_64

其他参考

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次