https://blog.qife122.com/tags/unbound/ Recent content in Unbound on 办公AI智能小助手 Hugo zh-cn qife Tue, 13 Jan 2026 08:48:05 +0800 https://blog.qife122.com/p/amazon-linux-2-%E5%AE%89%E5%85%A8%E6%9B%B4%E6%96%B0%E4%BF%AE%E5%A4%8Dunbound-dns%E8%A7%A3%E6%9E%90%E5%99%A8%E4%B8%AD%E7%9A%84%E5%9F%9F%E5%8A%AB%E6%8C%81%E6%BC%8F%E6%B4%9E-cve-2025-11411/ Tue, 13 Jan 2026 08:48:05 +0800 https://blog.qife122.com/p/amazon-linux-2-%E5%AE%89%E5%85%A8%E6%9B%B4%E6%96%B0%E4%BF%AE%E5%A4%8Dunbound-dns%E8%A7%A3%E6%9E%90%E5%99%A8%E4%B8%AD%E7%9A%84%E5%9F%9F%E5%8A%AB%E6%8C%81%E6%BC%8F%E6%B4%9E-cve-2025-11411/ <h1 id="amazon-linux-2-安全公告alas2unbound-117-2025-007">Amazon Linux 2 安全公告：ALAS2UNBOUND-1.17-2025-007</h1> <p><strong>公告发布日期：</strong> 2025-12-08 <strong>公告更新日期：</strong> 2025-12-08</p> <p><strong>严重等级：</strong> 中</p> <p><strong>参考信息：</strong> CVE-2025-11411</p> <p><strong>问题概述：</strong> NLnet Labs Unbound（包括1.24.0及更早版本）存在潜在域名劫持攻击漏洞。在DNS响应的权威区段中，混杂的NS资源记录集（RRSets）可用于欺骗解析器更新其对应区域的委托信息。通常，这些RRSet用于更新解析器对区域名称服务器的认知。恶意行为者可以通过在响应中注入NS RRSets（及其对应的地址记录）来利用此潜在的毒化效应，例如尝试欺骗数据包或进行分片攻击。随后，Unbound会因为新数据具有足够信任度（例如，来自委托点的区内数据）而继续更新其已有的NS RRSet数据。Unbound 1.24.1版本包含了一个修复程序，可从响应中清除未经请求的NS RRSets（及其对应的地址记录），从而缓解潜在的毒化效应。(CVE-2025-11411)</p>