В DNS-сервере Unbound (), которая может привести к выполнению кода атакующего при получении специально оформленных ответов. Системы подвержены проблеме только при сборке Unbound с модулем ipsec («—enable-ipsecmod») и включением ipsecmod в настройках. Уязвимость проявляется начиная с версии 1.6.4 и устранена в выпуске .
Уязвимость вызвана передачей неэкранированных символов при вызове shell-команды ipsecmod-hook, в случае получения запроса для домена, для которого присутствуют записи A/AAAA и IPSECKEY. Подстановка кода осуществляется через указание специально оформленного доменного имени в полях qname и gateway, привязанных к записи IPSECKEY.
source: opennet.ru