O Diário do Analista
Vol. 2  |  N. 5  |  Pp. 150–152  |  2026  |  ISSN xxxx-xxxx

Alerta: Correções para vulnerabilidades críticas em resolver Unbound

Publicado por: Kim Morgan.
Data de publicação: 21 de maio de 2026 às 17:23.
Identificador: ark:69775/c11959 .

O projeto Unbound publicou atualizações de segurança que corrigem múltiplas vulnerabilidades críticas em componentes centrais no resolver DNS recursivo. A atualização corrige falhas relacionadas a cache poisoning, exaustão de recursos, ataques de amplificação DNS, parsing incorreto de pacotes e, notavelmente, potenciais cenários de execução remota de código.

O Unbound é um resolver de DNS recursivo de código aberto amplamente adotado por provedores de Internet e ambientes corporativos por seu foco em desempenho e suporte para DNSSEC.

Ao todo, a atualização inclui correções e mitigacões para múltiplos CVEs relacionados ao funcionamento interno do resolver DNS, incluindo cenários de execução remota de código, negação de serviço (DoS), cache poisoning, degradação de disponibilidade e falhas envolvendo validação DNSSEC.

O que foi corrigido

CVE Vulnerabilidade Impacto Principal
CVE-2026-32792 Processamento incorreto de determinados pacotes DNSCrypt Possível crash e negação de serviço (DoS)
CVE-2026-33278 Falha na validação DNSSEC em cenários específicos Possível execução remota de código
CVE-2026-40622 Tratamento incorreto de registros “ghost domain” Negação de serviço (DoS)
CVE-2026-41292 Processamento excessivo de listas longas de opções EDNS Exaustão de recursos e indisponibilidade
CVE-2026-42534 Problema na lógica de “jostle” do resolver Consumo excessivo de recursos
CVE-2026-42923 Falta de limitação adequada em cálculos NSEC3 Exaustão de CPU e negação de serviço
CVE-2026-42944 Tratamento incorreto de múltiplas opções EDNS Crash do serviço via overflow de heap
CVE-2026-42959 Validação DNSSEC incorreta de conteúdo malicioso Crash do Unbound e negação de serviço
CVE-2026-42960 Processamento incorreto de delegações DNS Possível cache poisoning
CVE-2026-44390 Compressão de nomes DNS sem limites adequados Consumo excessivo de recursos e DoS
CVE-2026-44608 Vulnerabilidade use-after-free no mecanismo RPZ Crash do serviço

As vulnerabilidades afetam diferentes componentes internos do Unbound, relacionados principalmente ao processamento de respostas DNS, validação DNSSEC, parsing de pacotes e gerenciamento interno do resolver.

Uma das vulnerabilidades mais notáveis nessa publicação, envolve um gerenciamento errôneo de memória no Unbound durante o processo de validação DNSSEC, causando que o resolver utilize pointers inválidos e potencialmente habilitando execução de código remota por um ator malicioso sob controle de uma zona assinada maliciosamente.

Embora o fato de que as vulnerabilidades mais recentes ainda não possuem documentação técnica pública detalhada no momento desta publicação, falhas em resolvers DNS podem ter um impacto operacional significativo em ambientes expostos à Internet.

O que deve ser feito

A recomendação é atualizar imediatamente o Unbound para a versão 1.25.1,  aplicar os pacotes corrigidos disponibilizados pelas distribuições Linux suportadas, e reiniciar o serviço após a atualização.

Ubuntu

Distribuição Ubuntu Pacote Versão Corrigida
Ubuntu 26.04 LTS libunbound8 1.24.2-1ubuntu2.1
Ubuntu 26.04 LTS unbound 1.24.2-1ubuntu2.1
Ubuntu 25.10 libunbound8 1.22.0-2ubuntu2.3
Ubuntu 25.10 unbound 1.22.0-2ubuntu2.3
Ubuntu 24.04 LTS libunbound8 1.19.2-1ubuntu3.8
Ubuntu 24.04 LTS unbound 1.19.2-1ubuntu3.8
Ubuntu 22.04 LTS libunbound8 1.13.1-1ubuntu5.15
Ubuntu 22.04 LTS unbound 1.13.1-1ubuntu5.15

Debian

Distribuição Debian Pacote Versão Status
Debian 11 (bullseye) unbound 1.13.1-1+deb11u2 Vulnerável
Debian 11 (bullseye-security) unbound 1.13.1-1+deb11u7 Vulnerável
Debian 12 (bookworm) unbound 1.17.1-2+deb12u4 Vulnerável
Debian 12 (bookworm-security) unbound 1.17.1-2+deb12u3 Vulnerável
Debian 13 (trixie) unbound 1.22.0-2+deb13u2 Vulnerável
Debian 13 (trixie-security) unbound 1.22.0-2+deb13u1 Vulnerável
Debian forky unbound 1.24.2-1 Vulnerável
Debian sid (unstable) unbound 1.25.1-1 Corrigido

Considerações finais

Resolvedores DNS continuam sendo componentes extremamente sensíveis na infraestrutura da Internet moderna. Apesar de muitas vezes receberem menos atenção do que navegadores ou servidores web, falhas em softwares operacionais de DNS podem causar impactos amplos em disponibilidade, integridade e segurança operacional.

Referências

  • https://nlnetlabs.nl/projects/unbound/security-advisories/
  • https://lwn.net/Articles/1073859/
  • https://security-tracker.debian.org/tracker/CVE-2026-33278
  • https://ubuntu.com/security/notices/USN-8282-1
  • https://bugs.gentoo.org/show_bug.cgi?id=CVE-2026-33278

Tags: , , , , .

Categorias: Alerta, Debian, Linux, Ubuntu, Vulnerabilidade.

Kim Morgan Pesquisadora de segurança no laboratório ACME! Cybersecurity Research, trabalhando nas áreas de DNS e Inteligência Artificial.