BIND 9 - CVE-2026-3039

Date de publication :

Il s'agit d'une vulnérabilité dans le mécanisme de négociation TKEY via GSS-API de BIND 9.

BIND 9 (Berkeley Internet Name Domain) est un serveur DNS open source maintenu par l'ISC. Il assure la résolution de noms de domaine, la gestion de zones autoritaires et la résolution récursive. Il constitue le démon DNS le plus répandu sur les systèmes Linux et Unix, et est intégré nativement dans les distributions majeures (RHEL, Debian, Ubuntu). Il est fréquemment déployé en environnement Active Directory comme résolveur interne ou serveur DNS intégré.

Lors du traitement de paquets malformés envoyés à un serveur configuré pour utiliser l'authentification GSS-API/TKEY, le processus named alloue de la mémoire sans la libérer par la suite. L'absence de toute exigence d'authentification préalable (PR:N) et la faible complexité de l'attaque (AC:L) permettent à un attaquant distant de cibler tout serveur BIND exposé avec cette configuration. La configuration concernée est typique des déploiements Active Directory intégrés et des environnements Kerberos.

Elle permet de provoquer un déni de service à distance par épuisement de la mémoire du processus named jusqu'à son arrêt.

CVE-2026-3039

[Score CVSS v3.1 : 7.5]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-771 : Missing Reference to Active Allocated Resource

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Contournement provisoire

•   BIND 9 versions 9.0.0 jusqu'à 9.16.50 (inclus, branches en fin de vie)
•   BIND 9 versions 9.18.0 jusqu'à 9.18.48 (inclus)
•   BIND 9 versions 9.21.0 jusqu'à 9.21.21 (inclus)
•   BIND Supported Preview Edition versions 9.9.3-S1 jusqu'à 9.16.50-S1 (inclus, branche en fin de vie)
•   BIND Supported Preview Edition versions 9.18.11-S1 jusqu'à 9.18.48-S1 (inclus)
•   BIND Supported Preview Edition versions 9.20.9-S1 jusqu'à 9.20.22-S1 (inclus)

Solutions ou recommandations

•   BIND 9 versions 9.18.49 et supérieures
•   BIND 9 versions 9.20.23 et supérieures
•   BIND 9 versions 9.21.22 et supérieures
•   BIND Supported Preview Edition versions 9.18.49-S1 et supérieures
•   BIND Supported Preview Edition versions 9.20.23-S1 et supérieures

Liens