„`html
Zusammenfassung
CVE-2026-3593 beschreibt eine Use-After-Free-Schwachstelle in der DNS-over-HTTPS (DoH) Implementierung von BIND 9. Diese Speicherverwaltungslücke ermöglicht es Angreifern, über das Netzwerk Speicher freizugebener Objekte zu nutzen, was zu Denial-of-Service oder möglicherweise zur Codeausführung führt. Der CVSS-Score von 7.4 unterstreicht die erhebliche Bedrohung für DNS-Infrastrukturen.
Betroffene Systeme
Vulnerable Versionen:
- BIND 9.20.0 bis 9.20.22
- BIND 9.21.0 bis 9.21.21
- BIND 9.20.9-S1 bis 9.20.22-S1 (Security Release Branch)
Nicht betroffen:
- BIND 9.18.0 bis 9.18.48
- BIND 9.18.11-S1 bis 9.18.48-S1
Primär betroffen sind öffentliche und private DNS-Resolver, die DoH-Dienste aktiv bereitstellen.
Technische Details
Die Schwachstelle manifestiert sich im DoH-Handler, wo Speicher unter bestimmten Bedingungen freigegeben wird, während Zeiger noch aktiv genutzt werden. Ein Angreifer kann gezielt crafted DoH-Anfragen konstruieren, die diesen Zustand triggern. Der freigegebene Speicher kann durch nachfolgende Anfragen mit kontrollierten Daten gefüllt werden, was zu unkontrolliertem Programmverhalten führt. Dies ermöglicht DoS-Attacken oder potenziell Remote Code Execution.
Empfohlene Massnahmen
Patch: Aktuell kein offizieller Patch verfügbar. Regelmäßig die ISC BIND-Website überwachen.
Workarounds:
- DoH-Funktionalität deaktivieren, wenn nicht zwingend erforderlich
- Rate-Limiting implementieren
- Firewall-Regeln für DoH-Ports (TCP 443) restriktiv konfigurieren
- Nur vetraute Clients zulassen
Monitoring: Überwachen Sie BIND-Logdateien auf anomale DoH-Anfragen, Crashes und ungewöhnliche Speichernutzung.
Bewertung
Als High-Severity-Lücke mit Netzwerk-Angriffsvektor und fehlendem Patch stellt CVE-2026-3593 eine kritische Bedrohung dar. Betroffene Administratoren sollten umgehend Workarounds implementieren und auf offizielle Security-Updates warten. Für DoH-abhängige Infrastrukturen ist zeitnahe Remediation essenziell.
„`