Het Internet Systems Consortium (ISC) heeft een nieuwe reeks updates voor BIND 9 uitgebracht om vier kwetsbaarheden te verhelpen, waarvan twee als hoog risico worden aangemerkt. De eerste kritieke kwetsbaarheid, CVE-2026-3104, betreft een geheugenlek in de code die DNSSEC-bewijzen van niet-bestaande domeinen voorbereidt. Deze kwetsbaarheid kan worden misbruikt via speciaal opgezette domeinen om geheugenlekken te veroorzaken in BIND-resolvers. Volgens ISC worden autoritatieve servers waarschijnlijk niet getroffen.

De tweede ernstige kwetsbaarheid, CVE-2026-1519, kan leiden tot een hoge CPU-belasting wanneer de resolver een kwaadaardig opgezette zone tegenkomt tijdens DNSSEC-validatie. Dit kan resulteren in een scherpe daling van het aantal verwerkte queries. Hoewel het niet wordt aanbevolen, kan het uitschakelen van DNSSEC de exploitatie van deze kwetsbaarheid voorkomen. Beide kwetsbaarheden kunnen leiden tot een denial of service (DoS), aldus een advies van Ubuntu, dat BIND-pakketten levert aan zijn gebruikers.

Daarnaast zijn twee kwetsbaarheden met een middelhoge ernst verholpen. CVE-2026-3119 kan onverwachte beëindiging van named veroorzaken bij het verwerken van queries met een TKEY-record. CVE-2026-3591 betreft een use-after-return fout in de SIG(0)-verwerkingscode, die kan leiden tot het omzeilen van toegangscontroles via speciaal opgezette DNS-verzoeken. De patches zijn opgenomen in BIND-versies 9.18.47, 9.20.21 en 9.21.20, evenals in de Supported Preview Editions 9.18.47-S1 en 9.20.21-S1.

ISC meldt dat er geen aanwijzingen zijn dat deze kwetsbaarheden in het wild worden misbruikt. Verdere informatie is beschikbaar op de software-updates pagina van ISC.