BIND 9 - CVE-2026-1519

Date de publication : 30/03/2026

Il s'agit d'une vulnérabilité dans le moteur de validation DNSSEC du résolveur BIND 9.

BIND 9 est le serveur DNS de référence mondiale, développé par l'ISC. Il assure la résolution de noms de domaine en mode résolveur récursif et en mode serveur faisant autorité sur les infrastructures Linux, Unix et les équipements réseau. Il est présent dans la quasi-totalité des environnements serveur, des FAI, des collectivités et des établissements de santé.

Lors de la validation d'une zone malicieusement construite, le résolveur traite la preuve de délégation non sécurisée en effectuant un nombre d'itérations NSEC3 non borné. La condition de boucle n'est pas vérifiée sur la valeur d'entrée contrôlée par l'attaquant, ce qui provoque une saturation du CPU du processus named.

Elle entraîne un déni de service à distance par épuisement des ressources processeur du résolveur.

CVE-2026-1519

[Score CVSS v3.1 : 7.5]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-606 : Unchecked Input for Loop Condition

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   BIND 9 versions 9.11.0 jusqu'à 9.16.50
•   BIND 9 versions 9.18.0 jusqu'à 9.18.46
•   BIND 9 versions 9.20.0 jusqu'à 9.20.20
•   BIND 9 versions 9.21.0 jusqu'à 9.21.19
•   BIND 9 Supported Preview Edition versions 9.11.3-S1 jusqu'à 9.16.50-S1
•   BIND 9 Supported Preview Edition versions 9.18.11-S1 jusqu'à 9.18.46-S1
•   BIND 9 Supported Preview Edition versions 9.20.9-S1 jusqu'à 9.20.20-S1
Note : La branche 9.16 et la branche 9.11 sont en fin de vie (EOL) et ne recevront pas de correctif.

Contournement provisoire

Désactiver la validation DNSSEC via la directive dnssec-validation no;. Cette option n'est pas recommandée par l'ISC car elle affaiblit les protections d'intégrité DNS.

Solutions ou recommandations

•   BIND 9 versions 9.18.47 et supérieures
•   BIND 9 versions 9.20.21 et supérieures
•   BIND 9 versions 9.21.20 et supérieures
•   BIND 9 Supported Preview Edition versions 9.18.47-S1 et supérieures
•   BIND 9 Supported Preview Edition versions 9.20.21-S1 et supérieures