Главная » Новости » Debian 11 Bullseye исправил уязвимость в Unbound CVE-2025-11411

Debian 11 Bullseye исправил уязвимость в Unbound CVE-2025-11411

Содержание
  1. Что вообще случилось?
  2. Почему это опасно
  3. Как Debian решил проблему
  4. Какие версии затронуты
  5. Немного о том, как работает Unbound
  6. Личное мнение
  7. Что делать прямо сейчас
  8. Где почитать подробнее
  9. Вместо заключения

Команда Debian LTS выпустила обновление безопасности для пакета unbound это тот самый DNS преобразователь, который стоит у многих на серверах и занимается тем, что переводит доменные имена в IP адреса. Звучит скучно, но именно такие скучные сервисы иногда оказываются ключевыми. Без них интернет превращается в кашу из чисел. И вот, как оказалось, в этой каше кто-то мог подсыпать яд.

Debian
Debian

Что вообще случилось?

Исследователи с красивыми китайскими именами Юйсяо Ву, Юньи Чжан, Баоцзюнь Лю и Хайсянь Дуань — нашли уязвимость в Unbound, которая позволяет злоумышленнику отравить DNS кэш. Если коротко, то можно было подбросить фальшивый ответ и заставить сервер поверить, что какой-то домен теперь живёт по другому адресу. А дальше привет, фишинговые сайты, подменённые сертификаты и другие прелести.

Технически всё упирается в так называемые NS RRSet это записи, где хранится информация о серверах имён (Name Server). В нормальной ситуации они помогают DNS-разрешателю узнавать, куда дальше идти за ответом. Но если в ответ впрыснуть лишние или ложные NS-записи, то можно сбить с толку систему. Именно это и назвали внедрением NS RRSet.

Почему это опасно

Представьте, что вы живёте в большом доме с консьержем. Обычно консьерж знает всех жильцов и не пускает посторонних. Но однажды кто-то приносит ему пачку поддельных пропусков с новыми именами и теперь любой может войти, просто махнув бумажкой. Примерно так и работает DNS отравление. Сервер получает ложную информацию, обновляет свои доверенные контакты и потом отправляет туда всех, кто спрашивает где живёт google.com.

Самое неприятное, что такое отравление может произойти даже без прямого взлома. Иногда достаточно подделать ответ и поймать момент, когда кэш ожидает данных. На практике такие атаки довольно сложны, но вполне возможны. И, честно говоря, если кто-то скажет, что это всё теория, то не верьте, истории с отравленными DNS уже не раз приводили к масштабным сбоям.

Как Debian решил проблему

Исправление довольно изящное. Теперь Unbound просто вычищает из ответов всё лишнее, те самые подозрительные NS RRSets и связанные с ними адресные записи. Иными словами, фильтрует DNS пакеты, не давая вредоносным данным попасть в кэш. Можно сказать, поставили антивирус на уровне DNS.

Но разработчики оставили лазейку для тех, кто любит жить на грани проблем. В конфигурации появился новый параметр iter-scrub-promiscuous. Если установить его в no, защита отключится. Видимо, для тестов или особых случаев, когда нужно пропускать всё подряд. Но если вы не уверены на 200%, что делаете, тогда лучше этот параметр не трогать.

Какие версии затронуты

Уязвимость зафиксирована под номером CVE-2025-11411. В Debian 11 Bullseye она исправлена в версии 1.13.1-1+deb11u6. Если у вас стоит что-то старее, срочно обновляйтесь. Команда LTS прямо рекомендует:

“Пожалуйста, обновите систему безопасности как можно скорее”.

Сделать это просто:

sudo apt update && sudo apt upgrade

Да, звучит банально, но на практике я знаю десятки админов, которые годами не трогают свои серверы, потому что “всё же работает“. А потом начинается цирк с перебитым трафиком и DNS, который внезапно ведёт на сайты с казино. Так что не тяните.

Немного о том, как работает Unbound

Unbound это валидирующий и кэширующий DNS сервер. Его задача это не просто отдавать IP адреса, а делать это безопасно, с проверкой цифровых подписей (DNSSEC). Но даже самая надёжная система может дать сбой, если её обмануть на уровне делегирования, то есть подсунуть поддельный список доверенных. Именно такую брешь и нашли исследователи.

В оригинальном отчёте сказано, что проблема связана с тем, как Unbound обрабатывал дополнительные NS-записи в ответах. Они вроде как не обязаны быть там, но сервер их принимал и сохранял. Теперь он стал более подозрительным, если видит что-то не по делу, просто вычищает.

Личное мнение

Честно говоря, я обожаю такие баги. Не потому что они опасны (хотя и это тоже), а потому что они показывают, насколько хрупок и сложен интернет внутри. Мы каждый день открываем сайты, отправляем письма, не задумываясь, что где-то внизу работают десятки невидимых сервисов, которые должны доверять друг другу. Один фальшивый пакет и доверие рушится, как карточный домик.

А ведь Unbound это  далеко не гаражный проект. Это серьёзная штука, которую используют в миллионах инсталляций, от домашних роутеров до корпоративных сетей. И всё равно, нашли уязвимость, исправили, двигаемся дальше. Интернет живёт именно так, через постоянные латки и обновления.

Что делать прямо сейчас

  • Проверьте, какая версия Unbound у вас установлена unbound -V.
  • Если версия ниже 1.13.1-1+deb11u6 — обновитесь немедленно.
  • После обновления перезапустите сервис: sudo systemctl restart unbound.
  • Не трогайте параметр iter-scrub-promiscuous, если не знаете зачем.
  • И, пожалуйста, держите LTS обновления включёнными они иногда спасают и систему и ваги нервы.

Где почитать подробнее

Если хочется углубиться в детали или просто поразглядывать, как Debian  пишет об уязвимостях, то загляните на страницу отслеживания безопасности Unbound или в Debian LTS Wiki. Там всё по полочкам, версии, патчи, ссылки на исходники.

Вместо заключения

Иногда кажется, что обновления безопасности это что-то вроде мелкого ремонта. Но именно такие ремонты держат интернет на плаву. В случае с Unbound мы говорим не просто о баге, а о реальной возможности перехвата трафика. А это уже не шутки.

Так что ставьте обновления, не ленитесь, и пусть ваши DNS не смогут отравить злоумышленники. А если уж очень хочется адреналина, то всегда можно включить старую версию на тестовом стенде и попробовать повторить атаку. Только не в продакшене, пожалуйста :)

Источник: Debian LTS, DLA-4365-1, CVE-2025-11411

Понравилась статья?

Помогите Setiwik.ru создавать больше глубоких обзоров и новостей. Один клик и ваш вклад помогает держать серверы включёнными и авторов мотивированными!

Спасибо, что вы с нами!

Nazario
Nazario

Я — Nazario, тот самый человек, который больше десяти лет ковыряется в Linux и Windows системах не ради хобби, а потому что это — работа и жизнь. Всё, что вы читаете на Setiwik.ru, — это не пересказ справки из мануала, а результат десятков реальных кейсов, выстраданных конфигов и ночных перезагрузок.

Я не претендую на истину в последней инстанции. Но если мой опыт может кому-то упростить работу — значит, всё это не зря. Здесь нет «магии», только практика: от настроек сервера до неожиданных багов, которые не гуглятся с первого раза.

Setiwik.ru — это место, где IT становится чуть менее хаотичным. Заходите почаще — будем разбираться вместе.

Добавить комментарий

SetiWik — ясно, просто и по делу

Сайт setiwik.ru это мой проект, где я собираю для вас полезные и понятные материалы. Цель сайта это помочь вам решить повседневные IT-задачи, будь то настройка Linux или Windows, выбор оборудования или гаджета, да и просто разобраться в том, как работает та или иная программа.

Я постоянно работаю над сайтом: пишу новые статьи, готовлю обзоры и ищу темы, которые будут вам интересны.

Информация SetiWik

© 2025 Setiwik: IT-гид по Windows, Linux и мобильным технологиям
Сайт SetiWik использует cookies-файлы. Продолжая навигацию по сайту, Вы соглашаетесь с правилами использования cookies-файлов и политикой в отношении обработки персональных данных.