Bind9
Уязвимости
172
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.99995
Распределение по критичности
Критический
2
Высокий
77
Средний
83
Низкий
10
Также сопоставлено как (исходные строки): bind9
Топ уязвимостей
CVE-2008-0122Ошибка "off-by-one" в функции inet_network в libbind в ISC BIND 9.4.2 и более ранних версиях, используемая в libc во FreeBSD 6.2 через 7.0-PRERELEASE, позволяет злоумышленникам, зависящим от контекста, вызвать отказ в обслуживании (сбой) и, возможно, выполнить произвольный код через специально созданный ввод, который вызывает повреждение памяти.
CVE-2026-3593Уязвимость «использование после-бесплатно» существует в рамках реализации DNS-over-HTTPS.
Эта проблема затрагивает версии BIND 9 с 9.20.0 до 9.20.22, 9.21.0 до 9.21.21 и 9.20.9-S1 до 9.20.22-S1.
BIND 9 версии 9.18.0 до 9.18.48 и 9.18.11-S1 до 9.18.48-S1 НЕ затрагиваются.
CVE-2025-40780В BIND (версии 9.16.0‑9.16.50, 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12 и их ветки‑S1) обнаружена слабость генератора псевдослучайных чисел, позволяющая предсказать исходный порт и идентификатор запроса, используемые сервером. Это может быть использовано атакующим для более точного подбора ответов и обхода мер защиты. Подробнее см. источник [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-40780
CVE-2025-40778В некоторых конфигурациях BIND слишком снисходительно принимает ответы, позволяя злоумышленнику внедрять поддельные записи в кеш. Уязвимость затрагивает версии BIND 9 от 9.11.0 до 9.16.50, 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12 и соответствующие сервис‑пакеты [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-40778
CVE-2025-40776Кэширующий DNS-сервер 'named', настроенный для отправки ECS-опций (EDNS Client Subnet), может быть уязвим к атаке отравления кэша. Эта проблема затрагивает версии BIND 9 от 9.11.3-S1 до 9.16.50-S1, от 9.18.11-S1 до 9.18.37-S1 и от 9.20.9-S1 до 9.20.10-S1 [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-40776
CVE-2020-8616Злоумышленник, который намеренно использует отсутствие эффективного ограничения на количество извлечений, выполняемых при обработке перенаправлений, может с помощью специально созданных перенаправлений заставить рекурсивный сервер выполнить очень большое количество извлечений при попытке обработать перенаправление. Это имеет как минимум два потенциальных эффекта: производительность рекурсивного сервера может быть снижена из-за дополнительной работы, необходимой для выполнения этих извлечений, и злоумышленник может использовать это поведение для использования рекурсивного сервера в качестве отражателя в отражающей атаке с высоким коэффициентом усиления.
CVE-2018-5743По замыслу, BIND должен ограничивать количество TCP-клиентов, которые могут быть подключены в любой момент времени. Количество разрешенных подключений — это настраиваемый параметр, который, если он не установлен, по умолчанию имеет консервативное значение для большинства серверов. К сожалению, код, который должен был ограничивать количество одновременных подключений, содержал ошибку, которую можно было использовать для увеличения количества одновременных подключений сверх этого ограничения. Затронутые версии: BIND 9.9.0 -> 9.10.8-P1, 9.11.0 -> 9.11.6, 9.12.0 -> 9.12.4, 9.14.0. BIND 9 Supported Preview Edition версии 9.9.3-S1 -> 9.11.5-S3 и 9.11.5-S5. Версии 9.13.0 -> 9.13.7 ветки разработки 9.13 также затронуты. Версии до BIND 9.9.0 не оценивались на предмет уязвимости к CVE-2018-5743.
CVE-2016-1286named в ISC BIND 9.x до 9.9.8-P4 и 9.10.x до 9.10.3-P4 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (сбой утверждения и выход демона) через специально созданную запись подписи для записи DNAME, связанную с db.c и resolver.c.
CVE-2021-25216В BIND 9.5.0 -> 9.11.29, 9.12.0 -> 9.16.13 и версиях BIND 9.11.3-S1 -> 9.11.29-S1 и 9.16.8-S1 -> 9.16.13-S1 BIND Supported Preview Edition, а также в релизных версиях 9.17.0 -> 9.17.1 ветки разработки BIND 9.17, серверы BIND уязвимы, если они работают под управлением затронутой версии и настроены на использование функций GSS-TSIG. В конфигурации, использующей настройки BIND по умолчанию, уязвимый путь кода не раскрывается, но сервер может стать уязвимым, если явно задать значения для параметров конфигурации tkey-gssapi-keytab или tkey-gssapi-credential. Хотя конфигурация по умолчанию не является уязвимой, GSS-TSIG часто используется в сетях, где BIND интегрирован с Samba, а также в средах со смешанными серверами, объединяющих серверы BIND с контроллерами домена Active Directory. Для серверов, соответствующих этим условиям, реализация ISC SPNEGO уязвима для различных атак, в зависимости от архитектуры ЦП, для которой был построен BIND: Для двоичных файлов named, скомпилированных для 64-битных платформ, этот недостаток можно использовать для запуска переполнения буфера, что приведет к сбою сервера. Для двоичных файлов named, скомпилированных для 32-битных платформ, этот недостаток можно использовать для запуска сбоя сервера из-за переполнения буфера, а также, возможно, для достижения удаленного выполнения кода. Мы определили, что стандартные реализации SPNEGO доступны в библиотеках MIT и Heimdal Kerberos, которые поддерживают широкий спектр операционных систем, что делает реализацию ISC ненужной и устаревшей. Поэтому, чтобы уменьшить поверхность атаки для пользователей BIND, мы удалим реализацию ISC SPNEGO в апрельских выпусках BIND 9.11 и 9.16 (она уже была удалена из BIND 9.17). Обычно мы не удаляем что-либо из стабильной ESV (Extended Support Version) BIND, но поскольку системные библиотеки могут заменить реализацию ISC SPNEGO, мы сделали исключение в этом случае из соображений стабильности и безопасности.
CVE-2020-8625Серверы BIND уязвимы, если они работают под управлением затронутой версии и настроены на использование функций GSS-TSIG. В конфигурации, использующей настройки BIND по умолчанию, уязвимый путь кода не раскрыт, но сервер может быть признан уязвимым, явно установив допустимые значения для параметров конфигурации tkey-gssapi-keytab или tkey-gssapi-credential. Хотя конфигурация по умолчанию не является уязвимой, GSS-TSIG часто используется в сетях, где BIND интегрирован с Samba, а также в средах со смешанными серверами, которые объединяют серверы BIND с контроллерами домена Active Directory. Наиболее вероятным результатом успешной эксплуатации уязвимости является сбой процесса named. Однако удаленное выполнение кода, хотя и не доказано, теоретически возможно. Затрагивает: BIND 9.5.0 -> 9.11.27, 9.12.0 -> 9.16.11 и версии BIND 9.11.3-S1 -> 9.11.27-S1 и 9.16.8-S1 -> 9.16.11-S1 BIND Supported Preview Edition. Также версии выпуска 9.17.0 -> 9.17.1 ветки разработки BIND 9.17.
CVE-2011-2465Неуказанная уязвимость в ISC BIND 9 9.8.0, 9.8.0-P1, 9.8.0-P2 и 9.8.1b1, когда рекурсия включена, а Response Policy Zone (RPZ) содержит DNAME или определенные записи CNAME, позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой демона named) через неуказанный запрос.
CVE-2008-4163Неуказанная уязвимость в ISC BIND 9.3.5-P2-W1, 9.4.2-P2-W1 и 9.5.0-P2-W1 в Windows позволяет удаленным злоумышленникам вызывать отказ в обслуживании (завершение обработчика UDP-клиента) через неизвестные векторы.
CVE-2007-0493Уязвимость use-after-free в ISC BIND 9.3.0 до 9.3.3, 9.4.0a1 до 9.4.0a6, 9.4.0b1 до 9.4.0b4, 9.4.0rc1 и 9.5.0a1 (только Bind Forum) позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой демона named) через неуказанные векторы, которые приводят к тому, что named "разыменовывает освобожденный контекст выборки".
CVE-2026-5946Отказ в обслуживании в ISC BIND
CVE-2026-3104Специально созданный домен может быть использован для вызова утечки памяти в резолитре BIND, просто запросив этот домен.
Эта проблема затрагивает версии BIND 9 с 9.20.0 до 9.20.20, 9.21.0 до 9.21.19 и 9.20.9-S1 до 9.20.20-S1.
BIND 9 версии 9.18.0 до 9.18.46 и 9.18.11-S1 до 9.18.46-S1 НЕ затронуты.
CVE-2026-3039Отказ в обслуживании в ISC BIND
CVE-2026-1519Если репертор BIND выполняет проверку DNSSEC и сталкивается с злонамеренно созданной зоной, решатель может потреблять чрезмерный процессор. Авторитетные серверы, как правило, не затронуты, хотя есть обстоятельства, когда авторитетные серверы могут делать рекурсивные запросы (см.: https://kb.isc.org/docs/why-does-my-authoritative-server-make-recursive-queries).
Эта проблема затрагивает версии BIND 9 с 9.11.0 до 9.16.50, 9.18.06, 9.18.46, 9.20.20, 9.21.0 до 9.21.19, 9.11.3-S1 - 9.16.50-S1, 9.18.11-S1 - 9.18.16.11-S1 и 9.20.9-S1 - 9.20.20-S1.
CVE-2025-8677В BIND 9 обнаружена уязвимость, позволяющая вызвать исчерпание процессорных ресурсов (CPU exhaustion) при запросе к специально сформированной зоне, содержащей некорректные записи DNSKEY. Уязвимость затрагивает версии 9.18.0‑9.18.39, 9.20.0‑9.20.13, 9.21.0‑9.21.12, а также их версии‑S1 (9.18.11‑S1‑9.18.39‑S1, 9.20.9‑S1‑9.20.13‑S1). Подробности см. в источнике [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-8677
CVE-2025-40777Если кэширующий резолвер `named` настроен с `serve-stale-enable` `yes` и `stale-answer-client-timeout` установлен в `0` (единственное допустимое значение, кроме `disabled`), и если резолвер при разрешении запроса встречает цепочку CNAME, включающую определенное сочетание кэшированных или авторитетных записей, демон аварийно завершится с ошибкой утверждения.
Эта проблема затрагивает версии BIND 9: 9.20.0-9.20.10, 9.21.0-9.21.9 и 9.20.9-S1-9.20.10-S1 [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-40777
CVE-2025-40775При получении DNS-сообщения с Transaction Signature (TSIG), BIND всегда проверяет его. Если TSIG содержит недопустимое значение в поле алгоритма, BIND немедленно аварийно завершает работу с ошибкой подтверждения. Эта проблема затрагивает версии BIND 9 от 9.20.0 до 9.20.8 и от 9.21.0 до 9.21.7 [1].
Источники:
- [1] https://kb.isc.org/docs/cve-2025-40775
CVE-2025-13878Искаженные записи BRID/HHIT могут привести к неожиданному прекращению `named.
Эта проблема затрагивает версии BIND 9 с 9.18.40 до 9.18.43, 9.20.13 до 9.20.17, 9.21.12 - 9.21.16, 9.18.40-S1 - 9.18.43-S1, и 9.20.13-S1 - 9.20.17-S1.
CVE-2024-4076Клиентские запросы, которые приводят к выдаче устаревших данных и также требуют поиска в локальных авторитетных данных зон, могут привести к сбою утверждения.
Эта проблема затрагивает версии BIND 9 с 9.16.13 по 9.16.50, 9.18.0 по 9.18.27, 9.19.0 по 9.19.24, 9.11.33-S1 по 9.11.37-S1, 9.16.13-S1 по 9.16.50-S1 и 9.18.11-S1 по 9.18.27-S1.
CVE-2024-1975Если сервер хостит зону, содержащую ресурсную запись "KEY", или резолвер DNSSEC проверяет ресурсную запись "KEY" из кэша DNSSEC-подписанного домена, клиент может исчерпать ресурсы ЦП резолвера, отправив поток запросов, подписанных SIG(0).
Эта проблема затрагивает версии BIND 9 с 9.0.0 по 9.11.37, с 9.16.0 по 9.16.50, с 9.18.0 по 9.18.27, с 9.19.0 по 9.19.24, с 9.9.3-S1 по 9.11.37-S1, с 9.16.8-S1 по 9.16.49-S1 и с 9.18.11-S1 по 9.18.27-S1.
CVE-2024-1737Кэши резолверов и авторитетные зоновые базы данных, которые содержат значительное количество RR для одного и того же имени хоста (любого RTYPE), могут страдать от ухудшения производительности, когда содержимое добавляется или обновляется, а также при обработке клиентских запросов на это имя.
Эта проблема затрагивает версии BIND 9 с 9.11.0 по 9.11.37, с 9.16.0 по 9.16.50, с 9.18.0 по 9.18.27, с 9.19.0 по 9.19.24, с 9.11.4-S1 по 9.11.37-S1, с 9.16.8-S1 по 9.16.50-S1 и с 9.18.11-S1 по 9.18.27-S1.
CVE-2024-12705Клиенты, использующие DNS через HTTPS (DoH), могут исчерпать ресурсы ЦП и/или памяти DNS-резолвера, затопив его
созданным действительным или недействительным HTTP/2-трафиком. Эта проблема затрагивает версии BIND 9 с 9.18.0 по 9.18.32,
с 9.20.0 по 9.20.4, с 9.21.0 по 9.21.3, а также с 9.18.11-S1 по 9.18.32-S1.