Software-update: Unbound 1.25.1

Unbound logo Als je een DNS-look-up uitvoert, begint een recursor in eerste instantie met het stellen van de look-upvraag aan een DNS-rootserver. Deze kan dan doorverwijzen naar andere servers, vanaf waar weer doorverwezen kan worden naar andere servers enzovoort, totdat uiteindelijk een server is bereikt die het antwoord weet, of weet dat de look-up niet mogelijk is. Van dit laatste kan sprake zijn als de naam niet bestaat of de servers niet reageren. Het proces van het langslopen van verschillende authoritative servers heet recursie. Unbound is een DNS-recursor met ondersteuning voor moderne standaarden, zoals Query Name Minimisation, Aggressive Use of Dnssec-Validated Cache en authority zones. Versie 1.25.1 is verschenen en hierin zijn de volgende verbeteringen aangebracht:

Bug Fixes
  • Fix CVE-2026-33278, Possible remote code execution during DNSSEC validation.
  • Fix CVE-2026-42944, Heap overflow and crash with multiple nsid, cookie, padding EDNS options.
  • Fix CVE-2026-42959, Crash during DNSSEC validation of malicious content.
  • Fix CVE-2026-32792, Packet of death with DNSCrypt.
  • Fix CVE-2026-40622, "Ghost domain name" variant.
  • Fix CVE-2026-41292, Parsing a long list of incoming EDNS options degrades performance.
  • Fix CVE-2026-42534, Jostle logic bypass degrades resolution performance.
  • Fix CVE-2026-42923, Degradation of service with unbounded NSEC3 hash calculations.
  • Fix CVE-2026-42960, Possible cache poisoning attack while following delegation.
  • Fix CVE-2026-44390, Unbounded name compression in certain cases causes degradation of service.
  • Fix CVE-2026-44608, Use after free and crash in RPZ code.

Unbound

Versienummer 1.25.1
Releasestatus Final
Besturingssystemen Linux, BSD, macOS, Solaris, Windows 10, Windows Server 2016, Windows Server 2019, Windows 11, Windows Server 2022, Windows Server 2025
Website Stichting NLnet Labs
Download https://nlnetlabs.nl/projects/unbound/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 21-05-2026 15:00
12 • submitter: jpgview

21-05-2026 • 15:00

12

Submitter: jpgview

Bron: Stichting NLnet Labs

Update-historie

21-05 Unbound 1.25.1 12
30-04 Unbound 1.25.0 26
27-11 Unbound 1.24.2 9
23-10 Unbound 1.24.1 10
18-09 Unbound 1.24.0 11
07-'25 Unbound 1.23.1 3
04-'25 Unbound 1.23.0 24
10-'24 Unbound 1.22.0 25
08-'24 Unbound 1.21.0 4
05-'24 Unbound 1.20.0 20
Meer historie

Lees meer

Unbound

geen prijs bekend

Systeem- en netwerkutility's

Reacties (12)

-Moderatie-faq
12
12
11
1
0
1
Wijzig sortering

Sorteer op:

Weergave:
Snow_King 21 mei 2026 15:19
Goed om te weten, deze update is er voor CVE-2026-33278 welke een CVSS score van 9.8 heeft. Je wil snel patchen!
Reageer
c-nan @Snow_King21 mei 2026 15:50
Als ze de 100% cpu usage probleem ook ooit gaan oplossen dan ben ik echt blij en zal ik hartstikke snel patchen :)
Reageer
lenwar
@Snow_King21 mei 2026 20:12
Klopt, maar bij thuisgebruik valt het in de praktijk mee.
  • De aanvaller moet een DNS-zone hebben opgetuigd
  • De aanvaller moet een malafide query naar je Unbound-service toesturen (richting die DNS-zone)
  • Daarna moet de aanvaller DS-subqueries laten plaatsvinden
In de praktijk crasht unbound, en in het slechtste geval kan de aanvaller als de unbound-user commando’s uitvoeren. (En die heeft bij een correcte installatie geen speciale privileges.)

De manier misbruiken is technisch niet ingewikkeld, maar de thuis-installaties zullen veelal niet het primaire doel zijn, als die al vanuit buitenaf te benaderen zijn.

Desalniettemin is het altijd een goed idee om snel te patchen 😊
Reageer
MeNTaL_TO 21 mei 2026 15:46
Zowel in pihole als mijn LXC versie voor Ad Guard krijg ik de volgende opmerking
unbound is already the newest version (1.22.0-2+deb13u2).
Volgens het script dat ik gebruikt heb, zou versie 125.1 geinstalleerd moeten zijn en is de LXC updateable

https://community-scripts.org/scripts/unbound?id=unbound

Ik heb gisteren pas de LXC geinstalleerd, dus verbaas me dat versie 1.22 actief is.
Iemand anders wel gelukt om te updaten binnen proxmox?
Reageer
commentator @MeNTaL_TO21 mei 2026 15:50
als je gebruik maakt van de debian repo zul je wel nog even moeten wachten tot ze het daar ook verwerkt hebben
Reageer
xxs @MeNTaL_TO21 mei 2026 20:21
Mijn pihole op Proxmox geeft ook 1.22.0-2+deb13u2
Reageer
Zjemm 21 mei 2026 16:01
security patches zouden op debian ook snel moeten gaan toch?


anyhow, als unbound je lokale resolver is naar het internet, maar niet publiekelijk te benaderen is, zou de impact mee moeten vallen?
Reageer
RobertMe @Zjemm21 mei 2026 19:09
En hoe werkt die lokale resolver? Die zal nog steeds verbinding met de buitenwereld leggen. Mogelijk (/waarschijnlijk?) dat die CVEs vervolgens gerelateerd zijn aan data die Unbound ophaalt van een andere server.

Vervolgens is het natuurlijk de vraag hoe groot de kans is dat je een DNS record opzoekt dat zo'n kwetsbaarheid misbruikt. (Wat ook al kan komen door een advertentie op een website die je bezoekt bv).
Reageer
jumbos7 @RobertMe22 mei 2026 15:29
De kwetsbaarheid wordt als ik het goed begrijp uitgebuit doordat een aanvaller bij je unbound server een DNS record opvraagt, niet als je via Unbound zelf een DNS record opzoekt. Als Unbound niet open staat voor externe verzoeken ben je dus enkel kwetsbaar voor lokale verzoeken en moet een aanvaller dus eerst toegang hebben tot je lokale netwerk. De impact valt dus wel degelijk zoals @Zjemm vermoed heel erg mee. Maar wellicht zie ik iets over het hoofd.

[Reactie gewijzigd door jumbos7 op 22 mei 2026 16:28]

Reageer
Bontje Blauw 21 mei 2026 15:41
Op Ubuntu Server 24.0.4.4 LTS zit hij nog niet bij de update patches.
Zal ik dus handmatig moeten updaten.

Ik zit nog op versie 1.19.2
unbound/noble-updates,noble-security,now 1.19.2-1ubuntu3.8 amd64 [installed]
Reageer
sfranken @Bontje Blauw21 mei 2026 15:58
Als je de repos volgt zul je heel even moeten wachten tot de build daar ook is gedaan en is gepushed naar alle servers. Duurt meestal een dag (of 2)
Reageer
jumbos7 @Bontje Blauw22 mei 2026 16:36
Als je alleen zelf gebruik maakt van unbound en geen externe queries toe staat heeft het denk ik sowieso geen haast. Ik weet ook niet of je 1.25.1 zelf kunt compilen zonder tegen allerlei andere dependencies aan te lopen die nog niet in Ubuntu 24.0.4 LTS zitten. Ik zou als het even kan dus gewoon wachten totdat de versie in je repo wordt geupdate.
Reageer

Om te kunnen reageren moet je ingelogd zijn