FEHLER!

ISC warnt vor schwerwiegenden Schwachstellen im BIND-DNS-Server und fordert Updates

Das Internet Systems Consortium (ISC), ein Entwickler des DNS-Servers BIND, hat vergangene Woche drei Schwachstellen in seinem Produkt öffentlich gemacht. Eine dieser Sicherheitslücken, CVE-2025-40778, mit einem CVSS-Score von 8,6 und einem hohen Risiko, lässt sich durch einen nun aufgetauchten Proof-of-Concept-Exploit (PoC) demonstrieren. Dieser Exploit ermöglicht Angreifern mittels Cache-Poisoning die Manipulation von DNS-Einträgen und somit eine beliebige Umleitung von Internet-Traffic. Das BSI warnt in einer aktuellen Stellungnahme vor dieser hochriskanten Schwachstelle und erklärt, dass sie es einem nicht-authentifizierten Angreifer erlauben könnte, gefälschte Daten in den BIND-Cache einzuschleusen, da die Software bei der Annahme von Datensätzen aus Antworten unter bestimmten Umständen zu nachsichtig ist. Aktuell sind noch keine aktiven Angriffe auf diese Lücke bekannt. Neben dieser Schwachstelle, für die ein PoC existiert, hat das ISC zwei weitere Sicherheitslücken geschlossen, die ebenfalls durch Softwareaktualisierungen behoben wurden. Eine davon betrifft den Zugriff und die Manipulation von DNS-Einträgen mittels Cache-Poisoning und hätte ebenfalls zu einer Umleitung von Internetverkehr führen können. Die zweite Schwachstelle (CVE-2025-XXXX) ermöglicht einen Denial-of-Service-Angriff, da sie eine fehlerhafte Verarbeitung von Anfragen im BIND-Server verursacht.

Die Aktualisierung auf die Versionen BIND 9.18.41, 9.20.15 oder 9.21.14 oder neuere korrigiert diese sicherheitsrelevanten Fehler im DNS-Server. IT-Verantwortliche werden durch das ISC und das BSI aufgefordert, schnellstmöglich die Patchstände auf ihren betriebenen BIND-DNS-Servern zu prüfen und gegebenenfalls Updates einzuspielen. Die Bedeutung dieser Aktualisierung wird durch die Zahlen der Internet-Intelligence-Plattform Censys unterstrichen: Global werden über 700.000 BIND-DNS-Server mit einer für die Schwachstelle verwundbaren Version betrieben, davon knapp 40.000 allein in Deutschland. Dies unterstreicht die Dringlichkeit, bestehende Systeme schnellstmöglich zu aktualisieren und so Sicherheitsrisiken zu minimieren. BIND ist eine weit verbreitete und etablierte Softwarelösung im DNS-Bereich. Ein vergleichbarer Vorfall ereignete sich Anfang 2024 mit der sogenannten KeyTrap-Sicherheitslücke, die ebenfalls zu einem Denial-of-Service führte, und unterstreicht die kontinuierliche Notwendigkeit von Sicherheitsupdates und -pflege in diesem sensiblen Bereich.

Schlagwörter: PoC + BSI + BIND 9.18.41

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 29. Oktober 2025