Der DNS-Server BIND weist drei Schwachstellen auf, die das Internet Systems Consortium (ISC), das die Software entwickelt, vergangene Woche gemeldet hat. Ein nun aufgetauchter Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch eines der Sicherheitslecks. Höchste Zeit für Admins, die von ihnen betreuten BIND-Server auf den neuesten Stand zu bringen.
Davor warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Dokument. Der PoC attackiert eine hochriskante Schwachstelle, sie "könnte es einem nicht-authentifizierten Angreifer ermöglichen, mittels Cache-Poisoning DNS-Einträge zu manipulieren und somit Internet-Traffic beliebig umzuleiten" (CVE-2025-40778, CVSS 8.6, Risiko "hoch"). Das ISC erörtert in der eigenen Schwachstellenmeldung, dass "unter bestimmten Umständen BIND bei der Annahme von Datensätzen aus Antworten zu nachsichtig ist, sodass ein Angreifer gefälschte Daten in den Cache einschleusen kann". Bislang sind noch keine aktiven Angriffe auf die Lücke bekannt.
Neben dieser Sicherheitslücke, für die sogar ein PoC vorliegt, hat das ISC zwei weitere mit Softwareaktualisierungen geschlossen. Eine weitere ermöglicht ebenfalls Cache-Poisoning, was auf eine Schwäche des Zufallszahlengenerators (PRNG, Pseudo Random Number Generator) zurückgeht. Angreifer könnten dadurch Quellport und Query-ID vorhersehen, die BIND nutzen wird (CVE-2025-40780, CVSS 8.6, Risiko "hoch"). Die dritte Schwachstelle ermöglicht bösartigen Akteuren, den Dienst mit sorgsam präparierten DNSKEY-Eniträgen zur Auslastung der CPU zu bringen – eine Denial-of-Service-Lücke (CVE-2025-8677, CVSS 7.5, Risiko "hoch").
Die Aktualisierung auf die Versionen BIND 9.18.41, 9.20.15 oder 9.21.14 oder neuere korrigiert die sicherheitsrelevanten Fehler im DNS-Server. IT-Verantwortliche sollen auf die der eigenen Version am nächsten verwandte Fassung updaten, schreibt das ISC. Das BSI erklärt in seiner Warnung: "Nach Angaben der Internet-Intelligence-Plattform Censys werden global über 700.000 BIND DNS-Server mit einer für die Schwachstelle verwundbare Version betrieben, davon knapp 40.000 allein in Deutschland". Es empfiehlt daher: "IT-Sicherheitsverantwortliche sollten schnellstmöglich die Patchstände auf betriebenen BIND DNS-Server prüfen und – sofern erforderlich – die verfügbaren Updates einspielen."
Bei BIND handelt es sich um eine recht ausgereifte Software. Zuletzt fiel eine Sicherheitslücke darin Anfang 2024 auf – sie bekam den Spitznamen "KeyTrap" und sorgte für einen Denial-of-Service.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare