Ranjivosti omogućavaju hakerima da predvide koje portove i ID-eve upita će BIND koristiti i da ubace lažne zapise u keš.
Internet Systems Consortium (ISC) je u srijedu objavio ažuriranja za BIND 9 koja rješavaju ranjivosti visokog rizika, uključujući i one koje omogućavaju trovanje keša.
Prvi problem odnosi se na slabost u generatoru pseudoslučajnih brojeva (PRNG) koji koristi popularni DNS server softver. U određenim okolnostima, napadač može predvidjeti izvorni port i ID upita koji će biti korišćen.
Hakeri mogu iskoristiti ovaj bezbjednosni propust, označen kao CVE-2025-40780 (CVSS ocjena 8.6), u spoofing napadima koji, ako su uspješni, mogu dovesti do toga da BIND kešira napadačeve odgovore, objašnjava ISC.
Druga ranjivost, označena kao CVE-2025-40778 (CVSS ocjena 8.6), postoji zato što „u određenim okolnostima BIND previše popustljivo prihvata zapise iz odgovora“.
To omogućava hakerima da ubace lažne DNS zapise u keš, što može uticati na rješavanje budućih upita.
Treća ranjivost, CVE-2025-8677 (CVSS ocjena 7.5), opisana je kao napad uskraćivanja servisa (DoS) koji se može pokrenuti prilikom „upita za zapise unutar posebno kreirane zone koja sadrži neispravno formirane DNSKEY zapise“.
Napadač bi mogao iskoristiti ovu grešku da preoptereti server, utičući na performanse i dostupnost servisa iscrpljivanjem CPU resursa.
Prema ISC-u, sve tri ranjivosti pogađaju resolver-e, ali se vjeruje da ne utiču na autoritativne servere. Trenutno ne postoji rješenje kojim bi se one mogle zaobići, ali nijedna nije primijećena u stvarnim napadima.
Ove bezbjednosne greške ispravljene su izdanjima BIND 9.18.41, 9.20.15 i 9.21.14, kao i BIND Supported Preview Edition verzijama 9.18.41-S1 i 9.20.15-S1.
ISC preporučuje da se što prije izvrši ažuriranje na zakrpljenu verziju BIND-a. Organizacijama koje i dalje koriste zastarjele verzije DNS servera savjetuje se prelazak na podržano izdanje.
Izvor: SecurityWeek