Six vulnérabilités dans ISC BIND : correctifs urgents les 20 et 21 mai 2026

Le serveur DNS BIND, développé par l'Internet Systems Consortium (ISC), fait l'objet de deux vagues de correctifs de sécurité rapprochées. Le 20 mai 2026, ISC a publié des bulletins couvrant trois vulnérabilités (CVE-2026-3039, CVE-2026-3592, CVE-2026-3593). Dès le lendemain, le 21 mai, trois nouvelles failles ont été divulguées (CVE-2026-5946, CVE-2026-5947, CVE-2026-5950).

Versions concernées

Toutes les versions de BIND antérieures aux correctifs sont affectées. Plus précisément, les versions stables 9.x antérieures à 9.18.49, les versions 9.20.x antérieures à 9.20.23, et les versions de développement 9.21.x antérieures à 9.21.22 sont vulnérables. L'édition "Supported Preview" (SPE) est également concernée : les versions 9.20.x antérieures à 9.20.23-S1 et les versions antérieures à 9.18.49-S1 doivent être mises à jour.

Risques identifiés

Pour les six vulnérabilités, les risques annoncés sont un déni de service à distance. L'éditeur signale également, pour certaines d'entre elles, un problème de sécurité non spécifié. Les autorités de cybersécurité recommandent de considérer ces failles comme critiques et de procéder sans délai à la mise à jour des serveurs exposés.

Détail des failles

Le premier lot de correctifs (20 mai) concerne les identifiants CVE-2026-3039, CVE-2026-3592 et CVE-2026-3593. Le second lot (21 mai) corrige les CVE-2026-5946, CVE-2026-5947 et CVE-2026-5950. Les bulletins techniques détaillés sont disponibles sur le site de l'éditeur, mais les causes précises de chaque vulnérabilité n'ont pas été rendues publiques dans l'immédiat, probablement pour laisser le temps aux administrateurs d'appliquer les correctifs.

Mesures recommandées

Les administrateurs système sont invités à mettre à jour leurs installations BIND vers les versions corrigées dès que possible. Pour les versions stables, il convient de passer à BIND 9.18.49 ou 9.20.23 selon la branche utilisée. Pour la branche de développement, la version 9.21.22 est recommandée. Les utilisateurs de l'édition Supported Preview doivent installer les versions 9.18.49-S1 ou 9.20.23-S1. Aucune solution de contournement n'a été communiquée par l'éditeur à ce stade.

Impact potentiel

BIND est l'un des serveurs DNS les plus utilisés sur Internet, en particulier pour les infrastructures critiques et les fournisseurs d'accès. Une exploitation réussie de ces vulnérabilités pourrait entraîner l'interruption du service de résolution de noms, affectant l'accès aux sites web, la messagerie électronique et de nombreux services en ligne. La publication de deux séries de correctifs en deux jours suggère une activité soutenue de recherche de failles et une réactivité de l'éditeur pour protéger les utilisateurs.

Contexte

ISC publie régulièrement des mises à jour de sécurité pour BIND. Les vulnérabilités découvertes ce mois de mai 2026 portent à six le nombre de failles corrigées en une semaine. Les autorités françaises de cybersécurité ont émis des avertissements invitant les organismes publics et privés à appliquer les correctifs de manière prioritaire.

Six vulnérabilités découvertes dans le serveur DNS ISC BIND en l'espace de deux jours

À lire ensuite

La fusée New Glenn de Blue Origin détruite lors d'un essai : un revers majeur pour Amazon et la Nasa

Dell triple presque ses prévisions de ventes de serveurs IA, à 60 milliards de dollars

Acer officialise sa console portable Predator Atlas 8, première à embarquer la nouvelle puce Intel Arc G3

Peter Thiel installe sa famille en Argentine, séduit par les réformes libertaires de Milei