Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en BIND 9

Fecha de publicación 18/07/2025
Identificador
INCIBE-2025-0387
Importancia
4 - Alta
Recursos Afectados
  • Para la vulnerabilidad CVE-2025-40776:

    • Versiones de BIND Supported Preview Edition:

      • 9.11.3-S1 hasta 9.16.50-S1;
      • 9.18.11-S1 hasta 9.18.37-S1;
      • 9.20.9-S1 hasta 9.20.10-S1.

      Las opciones EDNS Client Subnet (ECS) sólo están disponibles en la edición BIND Subscription Edition (-S), por lo que sólo la edición -S está afectada por este CVE. Se cree que las versiones End-of-Life (EOL) del software BIND -S están afectadas, pero no se ha probado.

  • Para la vulnerabilidad CVE-2025-40777:

    • Versiones de BIND

      • 9.20.0 hasta 9.20.10;
      • 9.21.0 hasta 9.21.9.

      Las versiones anteriores a la 9.18.0 no han sido probadas.

    • Versiones de BIND Supported Preview Edition:

      • 9.20.9-S1 hasta 9.20.10-S1:

      Las versiones anteriores a 9.18.11-S1 no han sido probadas.

Descripción

ICS BIND ha publicado 2 vulnerabilidades de severidad alta que, de ser explotadas, podrían realizar un envenenamiento de la caché o forzar la salida de "named".

Solución

Actualizar al número de parche más próximo relacionado con su versión de BIND9.

Detalle

La vulnerabilidad CVE-2025-40776 está relacionada con un tipo de ataque conocido como "ataque de cumpleaños". Afecta a servidores de caché DNS que están configurados para usar la opción ECS (EDNS Client Subnet). Cuando un servidor DNS utiliza ECS, puede quedar expuesto a un ataque de envenenamiento de caché. En concreto, si un resolutor DNS (solucionador) envía estas opciones ECS a los servidores autoritativos, puede verse obligado a hacer consultas adicionales. Esto da a un atacante más oportunidades para adivinar información crítica como el puerto de origen o el identificador de la consulta, lo que facilita eludir las defensas existentes contra el envenenamiento de caché.

La vulnerabilidad CVE-2025-40777 está relacionada con una posible caída del servidor DNS debido a una configuración específica. Ocurre cuando un servidor DNS con caché tiene activada la opción "serve-stale-enable yes" y también está configurado con "stale-answer-client-timeout 0" (el único valor permitido, aparte de desactivarlo). Si, al resolver una consulta, el servidor se encuentra con una cadena de redireccionamientos CNAME que combina ciertos registros almacenados en caché o proporcionados por autoridades, puede producirse un fallo interno (error de afirmación) que hace que el servicio se detenga inesperadamente.

Se cree que estas vulnerabilidades no afectan a los servicios autoritativos, pero se recomienda consultar la página Why does my authoritative server make recursive queries?

CVE
Explotación
No
Identificador CVE
CVE-2025-40776
Severidad
Alta
Explotación
No
Identificador CVE
CVE-2025-40777
Severidad
Alta
Listado de referencias
BIND - CVE-2025-40776: Birthday Attack against Resolvers supporting ECS
BIND - CVE-2025-40777: A possible assertion failure when using the 'stale-answer-client-timeout 0' option
Etiquetas