Under certain conditions, `named` may crash when processing a correctly signed query containing a TKEY record. The affected code can only be reached if an incoming request has a valid transaction signature (TSIG) from a key declared in the `named` configuration.
This issue affects BIND 9 versions 9.20.0 through 9.20.20, 9.21.0 through 9.21.19, and 9.20.9-S1 through 9.20.20-S1.
BIND 9 versions 9.18.0 through 9.18.46 and 9.18.11-S1 through 9.18.46-S1 are NOT affected.
CVE-2026-3119 is a denial-of-service vulnerability in BIND 9 DNS servers that causes crashes when processing specially crafted TKEY records within validly signed TSIG queries. This affects BIND versions 9.20.0-9.20.20 and 9.21.0-9.21.19, requiring valid transaction signatures to exploit. While no public exploit exists and patches are unavailable, the vulnerability poses significant risk to Saudi DNS infrastructure, particularly for organizations running vulnerable BIND versions in production environments.
Immediate Actions:
1. Inventory all BIND 9 installations and identify systems running versions 9.20.0-9.20.20 or 9.21.0-9.21.19
2. Review TSIG key configurations and restrict access to authorized DNS servers only
3. Implement network segmentation to limit DNS query sources
4. Enable comprehensive DNS query logging to detect anomalous TKEY record patterns
Compensating Controls (until patches available):
1. Implement rate limiting on TSIG-authenticated queries
2. Deploy DNS firewall rules to block TKEY records from untrusted sources
3. Monitor named process for unexpected crashes and implement automatic restart mechanisms
4. Restrict TSIG key distribution and rotate keys regularly
5. Consider temporary downgrade to BIND 9.18.x series (confirmed unaffected)
Detection Rules:
1. Monitor syslog for named crashes with TKEY-related error messages
2. Alert on TSIG-authenticated queries containing TKEY records
3. Track DNS query patterns for unusual TKEY record requests
4. Monitor named process CPU/memory anomalies preceding crashes
الإجراءات الفورية:
1. حصر جميع تثبيتات BIND 9 وتحديد الأنظمة التي تشغل الإصدارات 9.20.0-9.20.20 أو 9.21.0-9.21.19
2. مراجعة تكوينات مفاتيح TSIG وتقييد الوصول إلى خوادم DNS المصرح بها فقط
3. تنفيذ تقسيم الشبكة لتحديد مصادر استعلامات DNS
4. تفعيل تسجيل استعلامات DNS الشامل للكشف عن أنماط سجلات TKEY الشاذة
الضوابط البديلة (حتى توفر التصحيحات):
1. تنفيذ تحديد معدل على الاستعلامات المصرح بها بـ TSIG
2. نشر قواعد جدار حماية DNS لحجب سجلات TKEY من مصادر غير موثوقة
3. مراقبة عملية named للتوقفات غير المتوقعة وتنفيذ آليات إعادة التشغيل التلقائي
4. تقييد توزيع مفاتيح TSIG وتدوير المفاتيح بانتظام
5. النظر في الترقية المؤقتة إلى سلسلة BIND 9.18.x (مؤكد عدم تأثرها)
قواعد الكشف:
1. مراقبة syslog لتوقفات named برسائل خطأ متعلقة بـ TKEY
2. التنبيه على الاستعلامات المصرح بها بـ TSIG التي تحتوي على سجلات TKEY
3. تتبع أنماط استعلامات DNS للطلبات غير العادية لسجلات TKEY
4. مراقبة شذوذ CPU/الذاكرة في عملية named قبل التوقفات