網路系統聯盟 (ISC) 於週三推出了新一輪 BIND 9 更新，以解決四個漏洞，其中包括兩個高風險漏洞。第一個高風險漏洞被追蹤為 CVE-2026-3104，它被描述為記憶體洩漏問題，影響準備 DNSSEC 不存在證明的程式碼。

此安全漏洞可透過精心建構的網域利用，導致 BIND 解析器出現記憶體洩漏。 ISC 在其安全公告中指出，權威伺服器可能不會受到影響。

「如果要求 BIND 解析器查詢一個特製的域， named將不會回收內存。這會導致駐留集大小 (RSS) 內存無限增長，進而可能導致內存不足。此外，如果嘗試關閉或重新加載， named將因斷言失敗而退出，」ISC 解釋道。

DNS 軟體套件中修正的第二個高風險漏洞是 CVE-2026-1519，此漏洞會導致解析器在 DNSSEC 驗證期間遇到惡意建構的區域時 CPU 佔用率過高。這可能會導致處理的查詢數量急劇下降。

ISC指出，雖然不建議這樣做，但禁用DNSSEC可以防止此漏洞被利用。根據向用戶提供 BIND 軟體包的 Ubuntu 發布的公告，利用 CVE-2026-3104 和 CVE-2026-1519 都可能導致拒絕服務 (DoS) 。最新 BIND 版本中解決的第一個中等嚴重性缺陷是 CVE-2026-3119，該缺陷可能導致在處理包含 TKEY 記錄的查詢時出現 意外的命名終止。

第二個漏洞是 CVE-2026-3591，它是 SIG(0) 處理程式碼中的一個「返回後使用」漏洞，可能導致 ACL 繞過。此漏洞可透過精心建構的 DNS 請求加以利用。這些安全缺陷的修補程式包含在 BIND 版本 9.18.47、9.20.21 和 9.21.20 以及 BIND 支援預覽版版本 9.18.47-S1 和 9.20.21-S1 中。ISC表示，目前尚未發現任何此類漏洞被實際利用。更多資訊請造訪其軟體更新頁面。

資料來源：https://www.securityweek.com/bind-updates-patch-high-severity-vulnerabilities-2/