Een ernstige kwetsbaarheid, geïdentificeerd als CVE-2025-40776, maakt BIND 9-resolvers vatbaar voor cache-vervuilingsaanvallen als ze zijn geconfigureerd om ECS (EDNS Client Subnet) opties uit te voeren. Dit kan leiden tot een succesvolle manipulatie van DNS-responses, waardoor integriteitsproblemen zonder interactie of privileges ontstaan.
Overzicht
De kwetsbaarheid bevindt zich in BIND 9 versies van 9.11.3-S1 tot 9.16.50-S1, 9.18.11-S1 tot 9.18.37-S1 en 9.20.9-S1 tot 9.20.10-S1. Hierbij bestaat een verhoogde kans op cache-poisoning door het manipulatief gebruik van gespoofde reacties wanneer ECS is ingeschakeld.
Aanbevelingen
- Uitschakelen van ECS in BIND door de
ecs-zonesoptie te verwijderen uitnamed.conf. - Upgrade naar de nieuwste gepatchte versie van BIND 9: 9.18.38-S1 of 9.20.11-S1.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-40776?
Dit is een kwetsbaarheid in BIND 9-resolvers waarbij ECS-geconfigureerde servers vatbaar zijn voor cache-vervuilingsaanvallen.
Welke systemen zijn kwetsbaar voor CVE-2025-40776?
Dit betreft BIND 9 systemen met versies 9.11.3-S1 tot 9.16.50-S1, 9.18.11-S1 tot 9.18.37-S1 en 9.20.9-S1 tot 9.20.10-S1 die ECS gebruiken.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar BIND versie 9.18.38-S1 of 9.20.11-S1.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan cache poisoning succesvol uitvoeren, wat kan leiden tot vermindering van de DNS-integriteit.
