BIND 9-Schwachstellen gefährden Resolver und Autoritative Server durch Remote-Exploits

BIND 9-Schwachstellen Die Matrix ist in zwei Abschnitte unterteilt: einen Schwachstellenindex, der CVE-Identifikatoren mit technischen Beschreibungen verknüpft, sowie versionsspezifische Tabellen, die angeben, welche BIND-Releases betroffen sind.

Diese Architektur ermöglicht eine präzise Risikobewertung, insbesondere in komplexen Umgebungen mit gemischten BIND-Branchen.

Zu den schwerwiegendsten Problemen zählt CVE-2026-3593, ein Heap-Use-After-Fre-Fehler in der DNS-over-HTTPS (DoH)-Implementierung Angreifern unter bestimmten Bedingungen potenziell erlauben, Speicherfehler auszulösen, was zu Abstürzen oder der Ausführung beliebigen Codes führt.

Sicherheitslage und Risiko

Ein weiteres kritisches Problem ist CVE-2026-5950, das einen unbeschränkten Neusend-Loop in der Resolver-Logik umfasst und ausgenutzt werden kann, um Systemressourcen zu erschöpfen und anhaltende Denial-of-Service-Bedingheiten zu verursachen. Zusätzliche Schwachstellen erweitern die Angriffsfläche.

CVE-2026-5947 betrifft die Validierung (0) bei hohen Abfragebelastungen und kann zu undefiniertem Verhalten und Dienstinstabilität führen. CVE-2026-5946 weist auf eine unzureichende Behandlung, die ausgenutzt werden könnte, um die DNS-Verarbeitungslogik zu stören.

Gleichzeitig führt CVE-2026-3592 zu Verstärkungsrisiken über selbstreferenzielle Glue-Records und öffnet damit die Tür für reflektierte DDoS-Angriffe. CVE-2026-3039 verdeutlicht zudem das Risiko eines Speicherverbrauchs während der GSS-API TKEY-Verhandlung, das Angreifer ausnutzen könnten, um die Serverleistung zu beeinträchtigen.

Sicherheitslage und Risiko

Beispielsweise könnte ein Angreifer, der einen anfälligen rekursiven Resolver angreift, die Schwachstelle im Wiederholungszyklus (CVE-2026-5950) ausnutzen, indem er bösartige DNS-Abfragen erstellt, die wiederholt Neuübertragungen auslösen. Dies führt schließlich zur Überlastung verursacht Serviceausfälle in abhängigen Anwendungen.

Die ISC rät dringend davon ab, End-of-Life (EOL)-Versionen 9 zu verwenden, da diese nicht mehr auf neu entdeckte Schwachstellen getestet werden und als unsicher gelten. Legacy-Zweige von 9.0 bis 9.16 sind in einigen Umgebungen weiterhin weit verbreitet, was das Ausnutzungsrisiko durch unpatchte Schwachstellen nach Ablauf der EOL-Phase erhöht.

Die Organisation empfiehlt den Wechsel auf unterstützte stabile Versionen und das Vermeiden -, Beta- oder Release-Candidate-Builds in Produktionsumgebungen. Sicherheitsteams sollten die Patchverwaltung, die kontinuierliche Überwachung und die Konfigurationshärtung priorisieren, um diese Bedrohungen zu mindern.

Netzwerksicherheitsverantwortliche werden zudem aufgefordert, DNS-Implementierungen zu überprüfen, unnötige Funktionen wie DoH einzuschränken, sofern sie nicht erforderlich sind, und Rate-Limiting umzusetzen, um die Anfälligkeit für Amplifikations- und Flooding-Angriffe zu verringern. Abi ist eine Sicherheitsredakteurin und Reporterin bei