billybaraja/cve-2026-5950-bind9-resolver-dos

# CVE-2026-5950 - BIND 9 解析器 DoS 关于 CVE-2026-5950 的研究笔记和防御指南，这是 BIND 9 解析器状态机中存在的一个无界重发循环漏洞。 ## 概述 CVE-2026-5950 影响递归 BIND 9 解析器。在特定的重试和坏服务器处理条件下，远程未经身份验证的攻击者可能会触发反复重发行为，从而导致严重的资源耗尽。 本仓库的目的是出于防御。它不发布 exploit payload 或实际的攻击步骤。 ## 关键信息 | 字段 | 值 | | --- | --- | | CVE | CVE-2026-5950 | | 产品 | ISC BIND 9 | | 组件 | 解析器 | | 弱点 | CWE-606：循环条件的输入未加检查 | | 严重程度 | 中危 | | CVSS v3.1 | 5.3 | | 向量 | `CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L` | | 影响 | 可用性 / 资源耗尽 | | 可利用性 | 远程 | | 身份验证 | 不需要 | ## 受影响版本 根据 ISC 公告，受影响的版本范围如下： | 分支 | 受影响版本 | 修复版本 | | --- | --- | --- | | BIND 9.18 | `9.18.36` 至 `9.18.48` | `9.18.49` | | BIND 9.20 | `9.20.8` 至 `9.20.22` | `9.20.23` | | BIND 9.21 | `9.21.7` 至 `9.21.21` | `9.21.22` | | BIND 9.18-S | `9.18.36-S1` 至 `9.18.48-S1` | `9.18.49-S1` | | BIND 9.20-S | `9.20.9-S1` 至 `9.20.22-S1` | `9.20.23-S1` | ## 影响 该漏洞可能通过资源耗尽影响递归解析器的可用性。ISC 指出解析器会受到影响，而权威服务据信不受此特定问题的影响。 ## 防御性检查 使用辅助脚本来对本地 BIND 版本进行分类： ``` python3 scripts/check_bind_version.py 9.20.22 python3 scripts/check_bind_version.py 9.20.23 python3 scripts/check_bind_version.py 9.18.48-S1 ``` 预期输出： ``` 9.20.22: affected - upgrade to 9.20.23 9.20.23: not affected by the listed vulnerable range 9.18.48-S1: affected - upgrade to 9.18.49-S1 ``` ## 推荐补救措施 升级到最接近当前部署分支的已修复版本： - `9.18.49` - `9.20.23` - `9.21.22` - `9.18.49-S1` - `9.20.23-S1` ISC 在公开公告中声明，目前没有任何已知的变通方案。 ## 仓库内容 - [docs/advisory.md](docs/advisory.md) - 结构化的公告说明。 - [docs/detection.md](docs/detection.md) - 防御性版本和环境检查。 - [scripts/check_bind_version.py](scripts/check_bind_version.py) - 安全的本地版本分类工具。 ## 研究者致谢 ISC 公告感谢 Billy Baraja (BielraX)) 将此漏洞引起 ISC 的注意。 ## 参考链接 - [ISC 公告：CVE-2026-5950](https://kb.isc.org/docs/cve-2026-5950) - [NVD：CVE-2026-5950](https://nvd.nist.gov/vuln/detail/CVE-2026-5950) - [CVE 记录：CVE-2026-5950](https://www.cve.org/CVERecord?id=CVE-2026-5950)

标签：BIND 9, 情报收集, 拒绝服务漏洞, 漏洞研究, 版本检测, 逆向工具, 防御加固, 防御指南