[TLP:CLEAR]
bollettino di sicurezza 94/2026
Aggiornamenti ISC BIND
30-03-2026
dns, bind, resolver, acl, dnssec
descrizione
ISC segnala quattro vulnerabilità in BIND 9: CVE-2026-1519 (CPU exhaustion su resolver con DNSSEC validation tramite zona malevola), CVE-2026-3591 (use-after-return in named su query DNS SIG(0) che può bypassare ACL IP-based), CVE-2026-3119 (crash di named su query TKEY con TSIG valida) e CVE-2026-3104 (memory leak nel resolver tramite query su dominio appositamente predisposto).Le vulnerabilità includono bypass di restrizioni ACL, denial of service tramite consumo risorse (CPU/memoria) e crash del servizio. Nessuna è segnalata come zero-day.
note
Le vulnerabilità impattano principalmente istanze BIND 9 configurate come resolver ricorsivi, specialmente con DNSSEC validation attiva. CVE-2026-1519 e CVE-2026-3104 possono essere sfruttate per degradare la disponibilità del servizio tramite consumo eccessivo di CPU o memoria. CVE-2026-3591 consente il bypass delle ACL IP-based in presenza di query SIG(0) su configurazioni default-allow, mentre CVE-2026-3119 può causare crash di named in scenari con TSIG configurato e query TKEY firmate. Alcune condizioni di sfruttamento richiedono prerequisiti specifici (es. autenticazione SIG(0) o TSIG valida). Non risultano exploit pubblici noti o casi di sfruttamento attivo. Si raccomanda aggiornamento prioritario, monitoraggio di anomalie su consumo risorse e verifica delle configurazioni ACL e DNSSEC. Nessun problema noto sugli aggiornamenti segnalato.CVE
| CVE | CVSS-3.1 | CVSS-4.0 | EPSS |
|---|---|---|---|
| CVE-2026-1519 | 8.0 | -- | 0.067% | 20.52% |
| CVE-2026-3104 | 7.5 | -- | 0.045% | 13.71% |
| CVE-2026-3119 | 6.5 | -- | 0.014% | 2.43% |
| CVE-2026-3591 | 5.4 | -- | 0.017% | 4.02% |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-617 | Reachable Assertion |
| CWE-772 | Missing Release of Resource after Effective Lifetime |
| CWE-606 | Unchecked Input for Loop Condition |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| isc | bind
|