Les développeurs du logiciel DNS BIND, largement utilisé, ont averti de deux vulnérabilités de haute gravité qui pourraient permettre des attaques de pollution de cache, similaires à celles révélées en 2008. Unbound, un autre résolveur DNS, fait face à une faille connexe signalée par les mêmes chercheurs. Des correctifs pour tous les problèmes sont devenus disponibles le 22 octobre 2025.
Le logiciel de résolution de noms de domaine le plus populaire sur Internet, BIND, est vulnérable à deux failles suivies sous CVE-2025-40778 et CVE-2025-40780, chacune avec un score de gravité de 8.6. Celles-ci proviennent d'une erreur logique et d'une faiblesse dans la génération de nombres pseudo-aléatoires, respectivement, permettant aux attaquants de polluer les caches DNS et de rediriger les utilisateurs vers des sites malveillants indistinguables des légitimes.
Séparément, les créateurs d'Unbound ont divulgué une vulnérabilité similaire avec un score de gravité de 5.6, également identifiée par les mêmes chercheurs. Tous les correctifs ont été publiés le mercredi 22 octobre 2025.
Ces problèmes ravivent les préoccupations de la découverte de Dan Kaminsky en 2008 sur la pollution de cache DNS, qui exploitait la nature unidirectionnelle et falsifiable des paquets UDP. Les attaquants pouvaient inonder les résolveurs de réponses forgées en utilisant des ID de transaction variés — limités à 65 536 possibilités — pour injecter des adresses IP malveillantes, comme remplacer 3.15.119.63 d'arstechnica.com par une sous contrôle de l'attaquant.
L'industrie a répondu en augmentant l'entropie via des ports source aléatoires au-delà de 53, combinés aux ID de transaction, portant les possibilités à des milliards et contrecarrant les attaques. Cependant, CVE-2025-40780 affaiblit cela : « Dans des circonstances spécifiques, en raison d'une faiblesse dans le Générateur de Nombres Pseudo-aléatoires (PRNG) utilisé, il est possible pour un attaquant de prédire le port source et l'ID de requête que BIND utilisera », ont déclaré les développeurs de BIND. Cela pourrait tromper BIND pour mettre en cache les réponses de l'attaquant si la falsification réussit.
CVE-2025-40778 permet l'injection de données forgées : « Dans certaines circonstances, BIND est trop indulgent lors de l'acceptation d'enregistrements des réponses, permettant à un attaquant d'injecter des données forgées dans le cache », ont expliqué les développeurs. L'exploitation nécessite une falsification réseau et un timing précis, affectant seulement l'intégrité du cache, pas le compromis du serveur.
Red Hat a noté : « Étant donné que l'exploitation n'est pas triviale, nécessite une falsification au niveau réseau et un timing précis, et n'affecte que l'intégrité du cache sans compromis du serveur, la vulnérabilité est considérée comme Importante plutôt que Critique ». Des contre-mesures comme DNSSEC, la limitation de taux et les pare-feu restent efficaces, limitant l'impact par rapport à 2008. Les serveurs autoritatifs ne sont pas affectés. Les organisations doivent appliquer les correctifs sans tarder.