Das Internet Systems Consortium (ISC) hat planmäßige Sicherheitsupdates für BIND 9 veröffentlicht, die drei relevante Schwachstellen im Resolver schließen. Betroffen sind die unterstützten Linien 9.18.41, 9.20.15 und 9.21.14; für die kommerzielle BIND Supported Preview Edition stehen 9.18.41‑S1 und 9.20.15‑S1 bereit. Administratoren sollten zeitnah aktualisieren und anschließend den Cache leeren (rndc flush), um eventuell manipulierte Einträge zu entfernen.
Drei Schwachstellen im DNS-Resolver: technische Einordnung und CVSS-Bewertung
CVE-2025-40780 (CVSS 8.6): Vorhersagbare Quellports und TXID durch PRNG-Schwäche
Aufgrund eines Fehlers im Pseudozufallszahlengenerator lassen sich unter bestimmten Bedingungen Quellport und Transaktions-ID (TXID) ausgehender DNS-Queries vorhersagen. Diese Entropie-Reduktion unterläuft den seit dem Kaminsky-Angriff 2008 etablierten Schutz der Port-Randomisierung und erleichtert DNS-Cache-Poisoning. Gelingt präzises Spoofing im richtigen Zeitfenster, kann der Resolver gefälschte Antworten cachen und Clients anschließend auf betrügerische Ziele umleiten.
CVE-2025-40778 (CVSS 8.6): Unzureichende Validierung eingehender Antworten
Die zweite Lücke betrifft eine zu großzügige Verarbeitung von Antwortpaketen. Unzureichend validierte Resource Records können so in den Resolver-Cache gelangen. Praktisch bedeutet das: Ein Angreifer kann Namensauflösungen für alle an diesen Resolver angebundenen Nutzer manipulieren, ohne den Server selbst zu kompromittieren.
CVE-2025-8677 (CVSS 7.5): DoS durch fehlerhafte DNSKEY-Daten
Die dritte Schwachstelle ist eine Denial-of-Service-Gefahr. Speziell präparierte, inkorrekte DNSKEY-Einträge können zu erhöhter CPU-Last führen, was in Performanceeinbrüchen bis hin zur Nichtverfügbarkeit des Dienstes resultiert.
Betroffene Komponenten, realer Risikorahmen und bestehende Schutzschichten
Nach Angaben von ISC sind rekursive Resolver betroffen; autoritatives BIND für eigene Zonen ist nicht verwundbar. Branchenbewertungen, darunter von Red Hat, stufen CVE‑2025‑40780 als anspruchsvoll in der Ausnutzung ein: Erforderlich sind Netzwerkspoofing und präzises Timing. Der unmittelbare Impact betrifft primär die Integrität des Caches; ein vollständiger Serverkompromiss ist nicht Voraussetzung.
Wichtige Gegenmaßnahmen bleiben wirksam: DNSSEC-Validierung verhindert in der Regel die Akzeptanz gefälschter Antworten, Response Rate Limiting (RRL) dämpft Missbrauchsmuster, und Anti-Spoofing nach BCP 38/84 am Netzperimeter reduziert die Erfolgschancen von gefälschten IP-Absendern. Diese Best Practices sind seit Jahren in IETF- und CERT-Empfehlungen verankert und sollten als Pflichtprogramm gelten.
Empfohlene Maßnahmen für Betrieb und Härtung von BIND 9
1) Sofort patchen und Cache reinigen: Aktualisieren Sie auf 9.18.41, 9.20.15 oder 9.21.14 (SPE: 9.18.41‑S1/9.20.15‑S1) und führen Sie rndc flush aus. Prüfen Sie anschließend Logdateien auf ungewöhnliche Antwortquellen und NXDOMAIN/ServFail-Spitzen.
2) DNSSEC strikt durchsetzen: Aktivieren bzw. erzwingen Sie die Validierung, pflegen Sie den Trust Anchor (KSK der Root-Zone) und überwachen Sie Validierungsfehler. DNSSEC adressiert die Kerngefahr von Cache-Poisoning, indem es Antworten kryptografisch absichert.
3) Rekursion und Oberfläche begrenzen: Setzen Sie ACLs für vertrauenswürdige Netze, nutzen Sie qname-minimization und überprüfen Sie, dass Port- und TXID-Randomisierung aktiv ist. RRL sollte mit sinnvollen Schwellwerten aktiv sein.
4) Netzwerk-Anti-Spoofing etablieren: Implementieren Sie Egress/Ingress-Filter nach BCP 38/84 auf Edge-Routern. Viele erfolgreiche DNS-Spoofing-Fälle scheitern an sauberem Quelladress-Filtering.
5) Monitoring und Reaktion: Aktivieren Sie detailliertes DNS-Logging, Metriken zu CPU/Latency und Alerts bei Anomalien. Regelmäßige Cache-Integritätsprüfungen helfen, Manipulationen früh zu erkennen (z. B. Abgleich kritischer Domains wie Update- und Auth-Endpoints).
Kontext: Parallelen zu Unbound und gemischten Umgebungen
Die meldenden Forscher identifizierten vergleichbare Schwächen auch im Resolver Unbound (dort mit niedrigerer CVSS-Bewertung um 5,6). Betreiber heterogener DNS-Infrastrukturen sollten Updates und Konfigurationen für alle Resolver synchron prüfen, um Inkonsistenzen und Lücken im Gesamtsystem zu vermeiden.
Schnelles Patch-Management, harte Validierung und Netz-Hygiene sind entscheidend, um DNS-Cache-Poisoning und DoS-Effekte zu verhindern. Prüfen Sie umgehend Ihre BIND-9-Version, aktivieren Sie DNSSEC, beschränken Sie Rekursion, setzen Sie RRL und Anti-Spoofing konsequent um und planen Sie regelmäßige Tests. So halten Sie die Auflösungsinfrastruktur belastbar und reduzieren das Risiko von Umleitungen auf Phishing- oder Malware-Domains nachhaltig.
