İnternet Sistemleri Konsorsiyumu (ISC), dünya çapında en yaygın kullanılan DNS yazılım uygulamalarından biri olan Bind 9’da iki kritik güvenlik açığını açıkladı.
16 Temmuz 2025’te yayınlanan bu güvenlik açıkları, saldırganların DNS önbelleklerini zehirlemesine ve DNS çözünürlük hizmetlerini bozmasına izin verebilir ve potansiyel olarak milyonlarca internet kullanıcısını ve kuruluşu küresel olarak etkileyebilir.
Kritik güvenlik kusurları tanımlandı
İlk güvenlik açığı, CVE-2025-40776EDNS istemci alt ağ (ECS) seçeneklerini destekleyen DNS çözücülerine karşı sofistike bir doğum günü saldırısını temsil eder.
Bu yüksek şiddetli kusur yalnızca Bind Abonelik Sürümü’nü (-s) etkiler ve 8.6 CVSS puanı taşır, bu da yazılımın bu premium sürümünü kullanan kuruluşlar için önemli güvenlik etkilerini gösterir.
Güvenlik açığı, ECS özellikli çözümleyicileri, kaynak bağlantı noktalarını ve mevcut önbellek zehirlenmesi korumalarını atlamak için gereken diğer kritik ayrıntıları başarılı bir şekilde tahmin etme olasılığını artıran sorgular yapmaya zorlayarak önbellek zehirlenmesi saldırılarını sağlar.
| CVE | Şiddet | CVSS Puanı | Birincil etki | Etkilenen sürümler |
| CVE-2025-40776 | Yüksek | 8.6 | Önbellek zehirlenmesi | Bind-S 9.11.3-S1 → 9.20.10-S1 |
| CVE-2025-40777 | Yüksek | 7.5 | Hizmet Bozukluğu | Bağlantı 9.20.0 → 9.20.10, 9.21.0 → 9.21.9 |
Bu zayıflık, DNS çözücülerini sahte sorgu yanıtlarına daha duyarlı hale getirerek, potansiyel olarak saldırganların kullanıcıları kötü amaçlı web sitelerine veya müdahaleye yönlendirmesine izin verir.
İkinci güvenlik açığı, CVE-2025-40777farklı ama eşit derecede ciddi bir tehdit oluşturur.
Bu kusur, spesifik yapılandırma koşulları karşılandığında tam hizmet kesintisine yol açan iddia arızalarına neden olabilir.
CVSS skoru 7.5 ile bu güvenlik açığı, servis stale-Emable EVET ile yapılandırılan çözücüleri etkiler ve 0 olarak ayarlanmış, DNS Daemon’un belirli CNAME zincirlerini işlerken beklenmedik bir şekilde iptal etmesine neden olur.
Etkilenen versiyonlar ve etki
Her iki güvenlik açığı da öncelikle yetkili sunuculardan ziyade DNS çözücülerini etkiler, ancak ISC, yetkili sunucuların özyinelemeli sorgular gerçekleştirebileceğini anlamanın önemini vurgular.
Önbellek zehirlenmesi güvenlik açığı, 9.11.3-s1’den son sürümlere kadar Bind Abonelik Sürümünün birden fazla sürümünü etkilerken, iddia hatası hatası 9.20.0 ila 9.20.10 ve 9.21.0 ila 9.21.9 sürümlerini etkiler.
ISC, her iki güvenlik açıkını da ele alan yamalı sürümler yayınladı. Etkilenen sürümleri kullanan kuruluşlar, mevcut dağıtımlarına bağlı olarak 9.18.38-S1, 9.20.11-S1, 9.20.11 veya 9.21.10’a bağlı olarak hemen yükseltmelidir.
Geçici geçici çözümler olarak, yöneticiler önbellek zehirlenmesi güvenlik açığı için ECS işlevselliğini devre dışı bırakabilir veya iddia arızası sorunu için bayat cevap yapılandırmalarını değiştirebilir.
Güvenlik açıkları, ECS ile ilgili kusurları tanımlamak için Nankai Üniversitesi AOSP Lab’dan Xiang Li’ye verilen kredi ile iç test ve akademik araştırma yoluyla keşfedildi.
ISC, aktif istismarlar hakkında hiçbir farkındalık bildirmez, ancak önemli güvenlik etkisi potansiyeli göz önüne alındığında derhal yamalamaya çağırır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now