Utvecklare av den mycket använda BIND DNS-programvaran har varnat för två hög allvarlighetsgrad sårbarheter som kan möjliggöra cache-förgiftningsattacker, liknande de som avslöjades 2008. Unbound, en annan DNS-upplösare, står inför en relaterad brist rapporterad av samma forskare. Patchar för alla problem blev tillgängliga den 22 oktober 2025.
Internets mest populära domännamnsupplösningsprogramvara, BIND, är sårbar för två brister spårade som CVE-2025-40778 och CVE-2025-40780, var och en med en allvarlighetsgrad på 8.6. Dessa härrör från en logikfel och en svaghet i pseudo-slumpmässig talgenerering, respektive, vilket gör det möjligt för angripare att förgifta DNS-cacher och omdirigera användare till skadliga webbplatser som är oskiljaktiga från legitima.
Separat har Unbounds skapare avslöjat en liknande sårbarhet med en allvarlighetsgrad på 5.6, också identifierad av samma forskare. Alla patchar släpptes onsdagen den 22 oktober 2025.
Dessa problem väcker åter oro från Dan Kaminskys upptäckt 2008 av DNS-cache-förgiftning, som utnyttjade UDP-paketen envägskarakter och förfalskningsbarhet. Angripare kunde översvämma upplösare med förfalskade svar med varierade transaktions-ID — begränsade till 65 536 möjligheter — för att injicera skadliga IP-adresser, som att ersätta arstechnica.coms 3.15.119.63 med en under angriparens kontroll.
Branschen svarade genom att öka entropin med slumpmässiga källportar bortom 53, kombinerat med transaktions-ID, vilket höjde möjligheterna till miljarder och stoppade attacker. Dock försvagar CVE-2025-40780 detta: “Under specifika omständigheter, på grund av en svaghet i den Pseudo Slumpmässiga Talgeneratorn (PRNG) som används, är det möjligt för en angripare att förutsäga källporten och fråge-ID som BIND kommer att använda”, uppgav BIND-utvecklare. Detta kunde lura BIND att cacha angriparens svar om förfalskningen lyckas.
CVE-2025-40778 tillåter injicering av förfalskade data: “Under vissa omständigheter är BIND för tillmötesgående när det accepterar poster från svar, vilket tillåter en angripare att injicera förfalskade data i cachen”, förklarade utvecklarna. Utnyttjande kräver nätverksförfalskning och exakt timing, och påverkar endast cache-integritet, inte serverkompromiss.
Red Hat noterade: “Eftersom utnyttjandet inte är trivialt, kräver nätverksnivåförfalskning och exakt timing, och endast påverkar cache-integritet utan serverkompromiss, betraktas sårbarheten som Viktig snarare än Kritisk”. Motåtgärder som DNSSEC, ratbegränsning och brandväggar förblir effektiva, och begränsar påverkan jämfört med 2008. Autoritativa servrar påverkas inte. Organisationer bör tillämpa patchar omedelbart.