Een kritieke kwetsbaarheid, aangeduid als CVE-2025-40777, treft bepaalde versies van BIND 9. Deze fout, gerelateerd aan de instelling stale-answer-client-timeout, kan ertoe leiden dat de DNS-server onverwacht stopt. Hoewel er geen actieve exploits bekend zijn, is de impact potentieel groot, aangezien een aanvaller de server kan laten crashen.
Overzicht
De kwetsbaarheid treft BIND 9-versies: 9.20.0 tot en met 9.20.10, 9.21.0 tot en met 9.21.9, en 9.20.9-S1 tot en met 9.20.10-S1. Deze versies kunnen een assertiefout vertonen wanneer serve-stale-enable op ‘yes’ staat met stale-answer-client-timeout ingesteld op ‘0’. Dit kan optreden tijdens het verwerken van specifieke DNS-query’s waarbij bepaalde CNAME-reeksen betrokken zijn.
Aanbevelingen
- Pas de configuratie aan door ofwel
stale-answer-client-timeout off;ofstale-answer-enable no;in te stellen, waarmee de assertiefout kan worden voorkomen. - Upgrade BIND 9 naar een gepatchte versie: 9.20.11, 9.21.10, of 9.20.11-S1, afhankelijk van uw huidige versie.
Bronnen
Meer informatie en de volledige details van deze kwetsbaarheid kunt u vinden in het vendor-advies.
Vraag en Antwoord
Wat is CVE-2025-40777?
Dit is een identificeerbare kwetsbaarheid in BIND 9 die een systeemcrash kan veroorzaken onder bepaalde configuraties en query-omstandigheden.
Welke systemen zijn kwetsbaar voor CVE-2025-40777?
Kwetsbare systemen zijn diegene waarop BIND 9-versies 9.20.0 tot en met 9.20.10, 9.21.0 tot en met 9.21.9, en 9.20.9-S1 tot en met 9.20.10-S1 draaien.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn gepatchte versies beschikbaar: 9.20.11, 9.21.10, en 9.20.11-S1.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan het systemen laten crashen door specifieke, kwaadaardige query’s uit te voeren.
