„`html
Zusammenfassung
CVE-2026-5947 ist eine kritische Sicherheitslücke in BIND 9, die durch eine Race Condition zu einer Use-After-Free-Verletzung führt. Die Schwachstelle betrifft die SIG(0)-Validierung und kann bei DNS-Flutattacken ausgelöst werden, wenn der „recursive-clients“-Limit erreicht ist.
Betroffene Systeme
Die Lücke betrifft folgende BIND 9 Versionen:
- 9.20.0 bis 9.20.22
- 9.21.0 bis 9.21.21
- 9.20.9-S1 bis 9.20.22-S1
Nicht betroffen: BIND 9.18.28 bis 9.18.49 und 9.18.28-S1 bis 9.18.49-S1
Technische Details
Die Schwachstelle entsteht durch folgende Ablauf:
Wenn BIND eine eingehende DNS-Nachricht mit SIG(0)-Signatur erhält, startet die Signaturvalidierung. Erreicht die eingehende Last während der Validierung das konfigurierte „recursive-clients“-Limit, wird die DNS-Nachricht aus dem Speicher entfernt. In diesem kritischen Zeitfenster versucht der SIG(0)-Validierungsprozess weiterhin, auf die bereits freigegebene Nachricht zuzugreifen.
Dies führt zu undefined behavior und potenzieller Speicherverletzung. Ein Angreifer kann gezielt DNS-Fluten mit signierten Nachrichten durchführen, um diese Race Condition auszulösen und so Denial-of-Service oder möglicherweise Codeausführung zu verursachen.
Empfohlene Massnahmen
Patch: Derzeit ist kein Patch verfügbar. Überwachen Sie die BIND-Seite auf Sicherheitsupdates.
Workarounds:
- Erhöhen Sie das „recursive-clients“-Limit, um Race Conditions zu reduzieren
- Implementieren Sie Rate-Limiting für eingehende DNS-Anfragen
- Nutzen Sie Firewalls zur Filterung verdächtiger DNS-Traffic-Muster
- Deaktivieren Sie SIG(0)-Validierung, wenn nicht erforderlich
Monitoring: Überwachen Sie BIND-Logs auf unerwartete Crashes und anomale Zugriffsmuster.
Bewertung
Mit CVSS 7.5 (High) ist sofortige Aufmerksamkeit erforderlich. Die Kombination aus netzwerkbasiertem Angriffsvektor und fehlend verfügbarem Patch macht dies zu einer kritischen Bedrohung für DNS-Infrastrukturen. Systeme mit betroffenen Versionen sollten priorisiert werden.
„`