Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je na serverech BIND s konfigurací autentizace založené na TKEY prostřednictvím GSS-API tokenů umožněno způsobit nadměrnou spotřebu paměti zasíláním škodlivě vytvořených paketů a vykonat DoS [4].

Zranitelnost se nachází v produktech:

• BIND 9 ve verzích (>=9.0.0 AND <=9.16.50) OR (>=9.18.0 AND <=9.18.48) OR (>=9.20.0 AND <=9.20.22) OR (>=9.21.0 AND <=9.21.21)
• BIND 9 Supported Preview Edition ve verzích (>=9.9.3-S1 AND <=9.16.50-S1) OR (>=9.18.11-S1 AND <=9.18.48-S1) OR (>=9.20.9-S1 AND <=9.20.22-S1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2026-3039 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-771: Missing Reference to Active Allocated Resource at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 5. 2026.

Neautentizovanému vzdálenému útočníkovi je umožněno zasíláním speciálně vytvořeného HTTP/2 provozu na koncový bod DNS-over-HTTPS využít zranitelnost typu use-after-free, což může vést k porušení konzistence paměti [5].

Zranitelnost se nachází v produktech:

• BIND 9 ve verzích (>=9.20.0 AND <=9.20.22) OR (>=9.21.0 AND <=9.21.21)
• BIND 9 Supported Preview Edition ve verzích >=9.20.9-S1 AND <=9.20.22-S1

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H

Více informací:

• CVE-2026-3593 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-416: Use After Free at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 5. 2026.

Neautentizovanému vzdálenému útočníkovi je zasíláním speciálně vytvořených DNS dotazů umožněno vykonat útok DoS na server. Zranitelné jsou systémy, které mají povolenou rekurzi, zpracovávají dynamické aktualizace (UPDATE), přijímají oznámení o změnách zón (NOTIFY), nebo zpracovávají specifické internetové typy záznamů (IN-specific) v rámci zón a dat mimo třídu Internet [6].

Zranitelnost se nachází v produktech:

• BIND 9 ve verzích (>=9.11.0 AND <=9.16.50) OR (>=9.18.0 AND <=9.18.48) OR (>=9.20.0 AND <=9.20.22) OR (>=9.21.0 AND <=9.21.21)
• BIND 9 Supported Preview Edition ve verzích (>=9.11.3-S1 AND <=9.16.50-S1) OR (>=9.18.11-S1 AND <=9.18.48-S1) OR (>=9.20.9-S1 AND <=9.20.22-S1)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2026-5946 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-125: Out-of-bounds Read at cwe.mitre.org
• CWE-20: Improper Input Validation at cwe.mitre.org
• CWE-617: Reachable Assertion at cwe.mitre.org
• CWE-754: Improper Check for Unusual or Exceptional Conditions at cwe.mitre.org
• CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 5. 2026.

Neautentizovanému vzdálenému útočníkovi je zasláním DNS zprávy s podpisem SIG(0) během záplavy dotazů umožněno způsobit nedefinované chování v důsledku souběhu a vykonat DoS [7].

Zranitelnost se nachází v produktech:

• BIND 9 ve verzích (>=9.20.0 AND <=9.20.22) OR (>=9.21.0 AND <=9.21.21)
• BIND 9 Supported Preview Edition ve verzích >=9.20.9-S1 AND <=9.20.22-S1

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

• CVE-2026-5947 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') at cwe.mitre.org
• CWE-416: Use After Free at cwe.mitre.org

Zranitelnost byla veřejně oznámena 20. 5. 2026.