Bind 9 DNS çözücü yazılımındaki iki kritik güvenlik açığı, potansiyel önbellek zehirlenmesi ve hizmet reddi saldırıları ile dünya çapında kuruluşları etkilemektedir.
CVE-2025-40776 ve CVE-2025-40777 olarak tanımlanan güvenlik açıkları, özellikle belirli gelişmiş özelliklerle yapılandırılan çözücüler için DNS altyapısı için önemli güvenlik riskleri oluşturmaktadır.
Key Takeaways
1. CVE-2025-40776 (cache poisoning) and CVE-2025-40777 (denial-of-service) affecting BIND 9 resolvers.
2. Target-specific BIND configurations can be exploited remotely without authentication.
3. Upgrade to patched versions or disable vulnerable features.
9 önbellek zehirlenmesi kusurunu bağlayın (CVE-2025-40776)
İlk güvenlik açığı olan CVE-2025-40776, CVSS ölçeğinde 8.6 yüksek şiddet derecesi taşıyan EDNS istemci alt ağ (ECS) seçenekleriyle yapılandırılmış 9 çözücüyü hedefler.
Bu doğum günü saldırısı kırılganlığı, yalnızca 9.11.3-s1 ila 9.16.50-s1, 9.18.11-s1 ila 9.18.37-s1 ve 9.20.9-s1 ila 9.20.10-s1 dahil olmak üzere Bind Abonelik Sürümü (-s) sürümlerini etkiler.
Saldırı, ECS seçeneklerini yetkili sunuculara gönderen çözümleyicilerden yararlanır ve bunları başarılı kaynak bağlantı noktası tahmin etme olasılığını artıran sorgular yapmaya zorlar.
Nankai Üniversitesi AOSP Lab’dan Xiang Li, orijinal doğum günü önbellek zehirlenme saldırısı hafifletmelerini atlayan bu güvenlik açığını keşfetti.
CVSS vektörü CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: C/C: N/I: H/A: N, yüksek bütünlük etkisi ile ağdan erişilebilir sömürüyü gösterir.
9 DOS güvenlik açığını bağlayın (CVE-2025-40777)
CVE-2025-40777, CVSS skoru 7.5 ile iddia arızaları yoluyla hizmet reddi saldırılarını sağlayan farklı bir tehdit vektörü sunar.
Bu güvenlik açığı, 9.20.0 ila 9.20.10 ve 9.21.0 ila 9.21.9 ile ilgili Bind sürümlerini ve karşılık gelen desteklenen önizleme sürümlerini etkiler.
Çözücüler Serve Stale-Epable EVET ile yapılandırıldığında güvenlik açığı tetiklenir ve bayat cevap-istemci zamanlaması 0 olarak ayarlanır.
Saldırganlar, Daemon Fesih adlı önbelleğe alınmış veya yetkili kayıtları içeren belirli CNAME zinciri kombinasyonlarından yararlanabilir.
Güvenlik açığı, iç test sırasında keşfedildi ve aktif istismarlar şu anda tanımlanmadı. CVSS vektörü CVSS: 3.1/AV: N/AC: L/PR: N/UI: N/S: U/C: N/I: N/A: H, uzaktan sömürü yoluyla yüksek kullanılabilirlik etkisini yansıtır.
| CVE | Başlık | Etkilenen ürünler | CVSS 3.1 puanı | Şiddet |
| CVE-2025-40776 | EC’leri destekleyen çözücülere karşı doğum günü saldırısı | Bağlan 9 Desteklenen Önizleme Sürümü:-9.11.3-S1 → 9.16.50-S1- 9.18.11-S1 → 9.18.37-S1- 9.20.9-S1 → 9.20.10-S1 | 8.6 | Yüksek |
| CVE-2025-40777 | ‘Stale-cevap-istemci-zaman aşımı 0’ seçeneğini kullanırken olası bir iddia hatası | Bağlantı 9:- 9.20.0 → 9.20.10- 9.21.0 → 9.21.9 Bind Desteklenen Önizleme Sürümü:-9.20.9-S1 → 9.20.10-S1 |
7.5 | Yüksek |
Hafifletme
ISC, her iki güvenlik açıkını çözmek için hemen yama yapmanızı önerir.
CVE-2025-40776 için kuruluşlar, 9.18.38-S1 veya 9.20.11-S1’i bağlayacak şekilde yükseltmeli veya ECS-Bölgeleri seçeneğini naml.conf adresinden kaldırarak ECS’yi devre dışı bırakmalıdır. CVE-2025-40777, 9.20.11 veya 9.21.10’u bağlayacak şekilde yükseltmeyi gerektirir, geçici geçici çözümler, yapılandırma dosyalarında bayat-cevap-istemci zamanını kapatma veya bayat cevap-etkin NO da dahil olmak üzere geçici geçici çözümler.
Bu güvenlik açıkları, hem önbellek zehirlenmesi hem de hizmet reddi saldırılarının organizasyonel güvenlik duruşunu ve hizmet kullanılabilirliğini ciddi şekilde tehlikeye atabileceğinden, güncellenmiş DNS altyapısını sürdürmenin kritik önemini vurgulamaktadır.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi