PT-2026-42164 · Isc+3 · Bind 9+3
Publicado
2026-05-17
·
Atualizado
2026-07-02
·
CVE-2026-5947
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
BIND 9 versões 9.20.0 até 9.20.22
BIND 9 versões 9.21.0 até 9.21.21
BIND 9 versões 9.20.9-S1 até 9.20.22-S1
Description
Uma condição de corrida ocorre quando o BIND recebe uma mensagem DNS assinada com SIG(0). Durante a validação da assinatura, se o limite de
recursive-clients for atingido (como ocorreria durante um flood de consultas) e a mensagem for descartada, pode ocorrer uma violação de use-after-free. Isso acontece porque o processo de validação SIG(0) pode tentar ler a mensagem DNS após ela ter sido descartada, levando a um comportamento indefinido. Use-after-free é um cenário onde um programa continua a usar um ponteiro após ele ter sido liberado, o que pode causar travamentos ou execução imprevisível.Recommendations
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
RCE
Race Condition
Time Of Check To Time Of Use
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bind 9
Bind Server
Linuxmint
Ubuntu