GLSA-202212-02 : Unbound：多個弱點

medium Nessus Plugin ID 168909

語系：

描述

遠端主機受到 GLSA-202212-02 中所述的弱點影響 (Unbound：多個弱點)

- NLnet Labs Unbound 1.16.1 及其之前的所有版本容易受到新型幽靈網域名稱攻擊。此弱點的攻擊目標是 Unbound 執行個體。攻擊者可使用 Unbound 查詢惡意網域名稱的子網域。惡意名稱伺服器會傳回此子網域的委派資訊並更新 Unbound 的委派快取。藉由向 Unbound 查詢惡意名稱伺服器提供新委派資訊涉及的二級子網域，可在委派資訊到期之前重複此動作。由於 Unbound 是以子項為中心的解析器，因此不斷更新的子項委派資訊可使惡意網域名稱在撤銷後很長一段時間內仍可解析。從 1.16.2 版開始，Unbound 會先檢查父項委派記錄的有效性，然後再使用快取的委派資訊。
(CVE-2022-30698)

- NLnet Labs Unbound 1.16.1 及其之前的所有版本容易受到新型幽靈網域名稱攻擊。此弱點的攻擊目標是 Unbound 執行個體。快取的委派資訊即將到期時，向 Unbound 查詢惡意網域名稱。惡意名稱伺服器會延遲回應，使快取的委派資訊過期。收到包含委派資訊的延遲回應時，Unbound 會覆寫現已過期的項目。當委派資訊即將到期時，攻擊者可重複此動作，使惡意委派資訊不斷更新。從 1.16.2 版開始，Unbound 會儲存查詢的開始時間，並使用該時間來決定是否可以覆寫快取的委派資訊。(CVE-2022-30699)

- 在多個 DNS 解析軟體中發現名為「無回應委派攻擊」(NRDelegation Attack) 的弱點。NRDelegation 攻擊的運作方式是將惡意委派與大量無回應的名稱伺服器搭配使用。攻擊者會先查詢解析器中是否有依賴無回應的名稱伺服器的記錄。此攻擊可造成解析器花費大量時間/資源來解析存在大量無回應 NS 記錄的惡意委派點下的記錄。它會在某些解析器實作中觸發高 CPU 使用率，這些解析器實作會持續在快取中尋找該委派中已解析的 NS 記錄。這可導致效能降低，並最終在精心策劃的攻擊中造成拒絕服務。Unbound 不會受到高 CPU 使用率的影響，但解析惡意委派仍然需要資源。Unbound 會不斷嘗試解析記錄，直到達到硬性限制為止。根據攻擊的性質和回覆，可達到不同的限制。從 1.16.3 版開始，Unbound 引入了修正程式，透過減少名稱伺服器探索和 DNSKEY 預先擷取的機會查詢，並限制委派點針對遺漏記錄發出快取查閱的次數，可以提升負載不足時的效能。
(CVE-2022-3204)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。