Dans le serveur DNS non lié (), ce qui peut conduire à l'exécution de code attaquant lors de la réception de réponses spécialement formatées. Les systèmes ne sont affectés par le problème que lors de la construction d'Unbound avec le module ipsec (« --enable-ipsecmod ») et ipsecmod activé dans les paramètres. La vulnérabilité apparaît à partir de la version 1.6.4 et est corrigée dans la version .
La vulnérabilité est causée par la transmission de caractères non échappés lors de l'appel de la commande shell ipsecmod-hook lors de la réception d'une demande pour un domaine pour lequel des enregistrements A/AAAA et IPSECKEY sont présents. La substitution de code s'effectue en spécifiant un nom de domaine spécialement conçu dans les champs qname et gateway associés à l'enregistrement IPSECKEY.
Source: opennet.ru