SchwachstellenHackerangriffeCyberkriminalität

BIND 9: Internet Systems Consortium behebt vier kritische DNS-Schwachstellen

BIND 9: Internet Systems Consortium behebt vier kritische DNS-Schwachstellen
Zusammenfassung

Das Internet Systems Consortium (ISC) hat kritische Sicherheitslücken in der weit verbreiteten DNS-Software BIND behoben. Bei den vier gepatchten Schwachstellen handelt es sich um zwei hochgradige Vulnerabilities, die es Angreifern ermöglichen, Speicherlecks und Überlastungszustände auszulösen. Die Lücke CVE-2026-3104 ermöglicht es, dass speziell konstruierte Domains zu unkontrolliertem Speicherwachstum und schließlich zum Ausfall des DNS-Resolvers führen, während CVE-2026-1519 extreme CPU-Auslastung während der DNSSEC-Validierung verursacht. Beide Fehler können zu Denial-of-Service-Angriffen führen. Obwohl das ISC derzeit keine aktiven Exploits in der Wildnis kennt, sind die Patches für deutsche Unternehmen und Behörden von erheblicher Bedeutung. DNS-Infrastruktur ist kritisch für alle internetgestützten Dienste – von E-Mail über Web bis zu Cloud-Services. Betroffene Organisationen sollten ihre BIND-Versionen umgehend auf 9.18.47, 9.20.21 oder 9.21.20 aktualisieren, um potenzielle Ausfallzeiten und Sicherheitsrisiken zu vermeiden.

Die beiden hochgradig kritischen Schwachstellen stellen unterschiedliche Bedrohungen dar. CVE-2026-3104 ist ein Memory-Leak-Problem im DNSSEC-Validierungsprozess. Wenn ein BIND-Resolver eine speziell konstruierte Domain abfragt, wird der belegte Speicher nicht freigegeben. Dies führt zu unbegrenztem Anwachsen des Resident Set Size (RSS)-Speichers und kann letztendlich zu Out-of-Memory-Bedingungen führen. Besonders tückisch: Der DNS-Dienst beendet sich mit einem Assertion-Fehler, wenn ein Shutdown oder Reload versucht wird — was die Wiederherstellung des Systems kompliziert macht.

Die zweite hochgradig kritische Lücke, CVE-2026-1519, hat einen anderen Angriffsmechanismus. Hier verursachen bösartig manipulierte DNS-Zonen während der DNSSEC-Validierung exzessive CPU-Auslastung. Die Folge: Der Resolver kann deutlich weniger Anfragen verarbeiten, was zu praktischen Denial-of-Service-Bedingungen führt. Als Notfall-Workaround erwähnt die ISC die Deaktivierung von DNSSEC — allerdings mit ausdrücklicher Warnung vor den Sicherheitsrisiken dieses Ansatzes.

Zusätzlich wurden zwei mittelschwere Schwachstellen adressiert: CVE-2026-3119 kann zu unerwartetem Abbruch des BIND-Dienstes führen, wenn Anfragen mit TKEY-Records verarbeitet werden. CVE-2026-3591 ist ein Use-After-Return-Fehler in der SIG(0)-Verarbeitung, der es ermöglicht, ACL-Regeln zu umgehen — potenzielle Eintrittspforten für unbefugte DNS-Operationen.

Die Patches sind in BIND-Versionen 9.18.47, 9.20.21 und 9.21.20 enthalten, sowie in den Supported-Preview-Editionen 9.18.47-S1 und 9.20.21-S1. Die ISC betont, dass derzeit keine aktiven Exploits dieser Lücken bekannt sind — das ist ein wichtiger Punkt, bedeutet aber nicht, dass Administratoren entspannen können. Historisch zeigt sich, dass kritische DNS-Schwachstellen schnell nach Public Disclosure zu Zielscheiben werden.

Für deutsche Systemadministratoren lautet die klare Handlungsempfehlung: Sofortige Inventur aller BIND-Installationen durchführen und auf die neuen Versionen upgraden. Besonders kritisch sind Umgebungen, in denen BIND als authoritative oder recursive Resolver für Unternehmensnetze fungiert. Die Patches sollten priorisiert werden, bevor diese Lücken zur Waffe gegen kritische Infrastruktur werden.

Ähnliche Artikel