„`html
Zusammenfassung
CVE-2026-42001 beschreibt eine kritische Schwachstelle in der Validierung von Autoprimary SOA-Abfragen (Start of Authority). Die Lücke ermöglicht es Angreifern, über das Netzwerk manipulierte SOA-Queries zu versenden und damit die DNS-Infrastruktur zu destabilisieren. Durch unzureichende Input-Validierung können Sicherheitsprotokolle umgangen werden.
Betroffene Systeme
Die Schwachstelle betrifft verschiedene DNS-Server-Implementierungen und autoritäre Nameserver, die Autoprimary-Funktionen nutzen. Betroffen sind insbesondere:
- Bind 9.x Versionen (spezifische Versionsangaben ausstehend)
- PowerDNS Authoritative Server
- Knot DNS
- Weitere DNS-Systeme mit automatischer Primär-Zone-Behandlung
Technische Details
Die Verwundbarkeit liegt in der fehlerhaften Validierung von eingehenden SOA-Queries bei der automatischen Primär-Zone-Erkennung. Angreifer können speziell konstruierte DNS-Pakete versenden, die:
- Ungültige SOA-Ressourceneinträge enthalten
- Die Zone-Autorisierungsprüfungen umgehen
- Zu DoS-Bedingungen oder Konfigurationsänderungen führen
Der Angriff erfordert nur Netzwerkzugriff auf den betroffenen DNS-Port (typischerweise 53) und kann remote ohne Authentifizierung durchgeführt werden.
Empfohlene Massnahmen
Workarounds: Deaktivieren Sie Autoprimary-Funktionen in den DNS-Konfigurationen, soweit nicht essentiell. Implementieren Sie strenge Firewallregeln zur Einschränkung von DNS-Anfragen auf vertrauenswürdige Quellen. Aktivieren Sie DNSSEC zur Validierung von Signaturen.
Monitoring: Überwachen Sie DNS-Logs auf ungewöhnliche SOA-Queries. Setzen Sie IDS-Regeln zur Erkennung malformierter Pakete ein.
Patch: Ein Patch steht derzeit nicht zur Verfügung. Beobachten Sie die Vendor-Websites regelmäßig auf Updates.
Bewertung
Mit einem CVSS-Score von 7.5 und fehlender Patch-Verfügbarkeit hat diese Lücke hohe Priorität. Die Kombination aus Netzwerk-Angreifbarkeit und Infrastruktur-Kritikalität erfordert umgehende Implementierung von Workarounds und verstärktes Monitoring.
„`