CVE-2025-11411
Mis à jour :
Détournement de domaine via le résolveur DNS Unbound
Une faille de sécurité, identifiée sous la référence CVE-2025-11411, affecte le résolveur DNS Unbound de NLnet Labs dans ses versions jusqu’à la 1.24.2. Le problème réside dans l’acceptation par Unbound d’enregistrements NS (Name Server Resource Record Sets) non sollicités et non fiables présents dans la section autorité des réponses DNS. Ces enregistrements sont normalement destinés à mettre à jour les informations de délégation d’un résolveur pour une zone DNS.
Des attaquants peuvent exploiter cette vulnérabilité en injectant des enregistrements NS malveillants, accompagnés d’enregistrements d’adresse, dans les réponses DNS. Cette injection peut se faire via des paquets falsifiés ou des attaques par fragmentation. Unbound peut alors modifier de manière erronée ses informations de délégation mises en cache, considérant ces enregistrements NS injectés comme des données de zone fiables, ouvrant la voie à des attaques de détournement de domaine.
Points clés :
- Vulnérabilité : Acceptation d’enregistrements NS non sollicités et potentiellement malveillants dans les réponses DNS.
- Impact : Permet des attaques de détournement de domaine.
- CVE : CVE-2025-11411.
- Logiciel affecté : NLnet Labs Unbound DNS resolver, versions antérieures à 1.24.1 (pour le premier correctif) et à 1.24.2 (pour le correctif additionnel).
Recommandations :
- Mettre à jour le résolveur DNS Unbound vers une version corrigée (au moins 1.24.1, idéalement 1.24.2 ou plus récent). La version 1.24.1 corrige l’effet d’empoisonnement en supprimant les enregistrements NS non sollicités et leurs enregistrements d’adresse associés des réponses. La version 1.24.2 ajoute une correction pour supprimer les enregistrements NS non sollicités des réponses YXDOMAIN et nodata non référentielles.