Nlnet · Unbound · CVE-2024-1931
**Nome do software vulnerável e versões afetadas**
Versões do Unbound 1.18.0 a 1.19.1
**Descrição**
O problema está relacionado a uma vulnerabilidade de negação de serviço causada por um loop infinito no código. Isso ocorre quando o Unbound tenta remover campos de texto extras dos registros EDE para caber no tamanho de buffer anunciado pelo cliente, mas, devido a uma condição não verificada, o código pode entrar em loop indefinidamente. Isso acontece quando o Unbound responde com informações EDE anexadas em uma resposta positiva e o tamanho do buffer do cliente é menor do que o necessário. A vulnerabilidade só pode ser acionada quando a opção ‘ede: yes’ é usada, o que é uma configuração não padrão.
**Recomendações**
Para as versões 1.18.0 a 1.19.1 do Unbound, atualize para a versão 1.19.2 ou posterior para corrigir o código e evitar o loop infinito.
Como solução temporária, considere desativar a opção ‘ede: yes’ até que um patch esteja disponível.