Der DNS-Server BIND weist drei Schwachstellen auf, die das Internet Systems Consortium (ISC), das die Software entwickelt, vergangene Woche gemeldet hat. Ein nun aufgetauchter Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch eines der Sicherheitslecks. H\u00f6chste Zeit f\u00fcr Admins, die von ihnen betreuten BIND-Server auf den neuesten Stand zu bringen.<\/p>\n
Weiterlesen nach der Anzeige<\/p>\n
Davor warnt nun auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in einem Dokument<\/a>. Der PoC attackiert eine hochriskante Schwachstelle, sie „k\u00f6nnte es einem nicht-authentifizierten Angreifer erm\u00f6glichen, mittels Cache-Poisoning DNS-Eintr\u00e4ge zu manipulieren und somit Internet-Traffic beliebig umzuleiten“ (CVE-2025-40778, CVSS 8.6<\/strong>, Risiko „hoch<\/strong>„). Das ISC er\u00f6rtert in der eigenen Schwachstellenmeldung<\/a>, dass „unter bestimmten Umst\u00e4nden BIND bei der Annahme von Datens\u00e4tzen aus Antworten zu nachsichtig ist, sodass ein Angreifer gef\u00e4lschte Daten in den Cache einschleusen kann“. Bislang sind noch keine aktiven Angriffe auf die L\u00fccke bekannt.<\/p>\n Zwei weitere Sicherheitslecks in BIND<\/p>\n Neben dieser Sicherheitsl\u00fccke, f\u00fcr die sogar ein PoC vorliegt, hat das ISC zwei weitere mit Softwareaktualisierungen geschlossen. Eine weitere erm\u00f6glicht ebenfalls Cache-Poisoning<\/a>, was auf eine Schw\u00e4che des Zufallszahlengenerators (PRNG, Pseudo Random Number Generator) zur\u00fcckgeht. Angreifer k\u00f6nnten dadurch Quellport und Query-ID vorhersehen, die BIND nutzen wird (CVE-2025-40780, CVSS 8.6<\/strong>, Risiko „hoch<\/strong>„). Die dritte Schwachstelle<\/a> erm\u00f6glicht b\u00f6sartigen Akteuren, den Dienst mit sorgsam pr\u00e4parierten DNSKEY-Enitr\u00e4gen zur Auslastung der CPU zu bringen \u2013 eine Denial-of-Service-L\u00fccke (CVE-2025-8677, CVSS 7.5<\/strong>, Risiko „hoch<\/strong>„).<\/p>\n Die Aktualisierung auf die Versionen BIND 9.18.41, 9.20.15 oder 9.21.14 oder neuere korrigiert die sicherheitsrelevanten Fehler im DNS-Server. IT-Verantwortliche sollen auf die der eigenen Version am n\u00e4chsten verwandte Fassung updaten, schreibt das ISC. Das BSI erkl\u00e4rt in seiner Warnung: „Nach Angaben der Internet-Intelligence-Plattform Censys werden global \u00fcber 700.000 BIND DNS-Server mit einer f\u00fcr die Schwachstelle verwundbare Version betrieben, davon knapp 40.000 allein in Deutschland“. Es empfiehlt daher: „IT-Sicherheitsverantwortliche sollten schnellstm\u00f6glich die Patchst\u00e4nde auf betriebenen BIND DNS-Server pr\u00fcfen und \u2013 sofern erforderlich \u2013 die verf\u00fcgbaren Updates einspielen.“<\/p>\n Bei BIND handelt es sich um eine recht ausgereifte Software. Zuletzt fiel eine Sicherheitsl\u00fccke darin Anfang 2024 auf \u2013 sie bekam den Spitznamen „KeyTrap“<\/a> und sorgte f\u00fcr einen Denial-of-Service.<\/p>\n