Die erste der beiden hochgradig kritischen Schwachstellen wird als CVE-2026-3104 geführt und beschreibt ein Speicherleck im Code, der DNSSEC-Nachweise für die Nichtexistenz von Einträgen vorbereitet. Wird ein BIND-Resolver dazu gebracht, eine speziell präparierte Domain abzufragen, gibt der Dienst named den belegten Speicher nicht wieder frei. Laut ISC kann dies zu einem unbegrenzten Anwachsen des Resident-Set-Size-Speichers (RSS) und damit zu einer Out-of-Memory-Situation führen. Zusätzlich beendet sich named bei einem Versuch, den Dienst herunterzufahren oder neu zu laden, mit einem Assertion-Fehler. Autoritative Server sind dem ISC zufolge möglicherweise nicht betroffen.

Die zweite hochgradig kritische Lücke, CVE-2026-1519, kann eine hohe CPU-Auslastung auslösen, wenn der Resolver während der DNSSEC-Validierung auf eine bösartig gestaltete Zone trifft. Die Folge ist ein deutlicher Rückgang der Zahl der verarbeiteten Anfragen. Das Deaktivieren von DNSSEC verhindert zwar eine Ausnutzung, wird vom ISC jedoch ausdrücklich nicht empfohlen.

Nach dem Advisory von Ubuntu, das BIND-Pakete für seine Nutzer bereitstellt, können sowohl CVE-2026-3104 als auch CVE-2026-1519 zu einem Denial of Service führen.

Dazu kommen zwei Schwachstellen mit mittlerem Schweregrad. CVE-2026-3119 kann während der Verarbeitung einer Anfrage, die einen TKEY-Eintrag enthält, zu einem unerwarteten Abbruch von named führen. CVE-2026-3591 ist eine Use-after-return-Schwachstelle im Code für die SIG(0)-Verarbeitung, die eine Umgehung von Zugriffskontrolllisten (ACL) ermöglichen kann; ausnutzbar ist sie über speziell gestaltete DNS-Anfragen.

Die Korrekturen wurden in den BIND-Versionen 9.18.47, 9.20.21 und 9.21.20 sowie in den Versionen 9.18.47-S1 und 9.20.21-S1 der BIND Supported Preview Edition veröffentlicht. Das ISC erklärt, ihm seien keine Fälle bekannt, in denen eine dieser Schwachstellen in freier Wildbahn ausgenutzt wurde. Weitere Informationen stellt das Consortium auf seiner Seite zu Software-Updates bereit.