Tri ranjivosti u BIND 9 mogu oboriti DNS servere i zaobići kontrole pristupa
Cyber Press piše da je ISC objavio tri bezbednosna propusta u BIND 9, jednom od najrasprostranjenijih DNS softverskih paketa, koji mogu dovesti do DoS napada, rušenja servera i zaobilaženja kontrola pristupa. BIND 9 se široko koristi i kao DNS rezolver i kao authoritative DNS server, pa ovakvi propusti mogu pogoditi samu osnovu mrežnih i internet servisa. Najozbiljniji problem je CVE-2026-1519, koji može izazvati veliku potrošnju CPU resursa tokom DNSSEC validacije, dok druga dva propusta pogađaju obradu TKEY i SIG(0) zahteva.
Ovo je važno jer DNS problemi ne ostaju izolovani na jednom servisu, već lako prerastu u širi prekid rada aplikacija, sajtova i internih sistema. Ako je pogođen BIND server koji ima važnu ulogu u mreži, posledice mogu biti spor rad, prekidi rezolucije, pad servisa ili neovlašćen pristup u loše podešenim okruženjima.
- Odmah proveriti verziju BIND 9 i preći na zakrpljeno izdanje
- Ne isključivati DNSSEC validaciju kao trajno rešenje, osim kao kratkoročnu hitnu meru uz punu svest o riziku
- Pregledati i ukloniti nepotrebne ili nepouzdane TSIG ključeve
- Proveriti ACL pravila i posebno izbeći preširoke default-allow postavke
- Pojačati nadzor nad DNS performansama, CPU opterećenjem i neuobičajenim DNS zahtevima