Se han descubierto vulnerabilidades de severidad alta en productos ISC (Internet Systems Consortium). Un actor malicioso podría comprometer la disponibilidad del servicio mediante la ejecución de ataques de denegación de servicio en los sistemas afectados.
Productos afectados
Kea DHCP Server:
- Versiones 2.6.x anteriores a la 2.6.5.
- Versiones 3.0.x anteriores a la 3.0.3.
BIND 9:
- Versiones 9.11.x a 9.16.50.
- Versiones 9.18.x anteriores a la 9.18.47.
- Versiones 9.20.x anteriores a la 9.20.21.
- Versiones 9.21.x anteriores a la 9.21.20.
- Edición de vista previa (S) versiones 9.11.3-S1 a 9.16.50-S1, 9.18.11-S1 a 9.18.46-S1 y 9.20.9-S1 a 9.20.20-S1.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-3608: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de aserción alcanzable. Un actor malicioso remoto podría enviar un mensaje diseñado a los diversos demonios de Kea (control-agent, dhcp-ddns, dhcp4 o dhcp6) a través de un socket de API o un escucha de alta disponibilidad, provocando un error de desbordamiento de pila y la terminación del proceso.
CVE-2026-1519: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de entrada no verificada en una condición de bucle. Un actor malicioso remoto podría utilizar una zona especialmente diseñada para que un resolvedor BIND, al realizar validaciones DNSSEC, consuma recursos de CPU de manera excesiva, degradando o interrumpiendo el servicio.
CVE-2026-3104: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de falta de liberación de recursos. Un actor malicioso remoto podría realizar consultas a un dominio diseñado específicamente para agotar la memoria del sistema en resolvedores BIND afectados, lo que eventualmente conduce a una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias