“Em circunstâncias específicas, devido a uma fraqueza no gerador de números pseudo-aleatórios (PRNG) usado, é possível que um invasor preveja a porta de origem e o ID de consulta que o BIND usará”, escreveram os desenvolvedores do BIND na divulgação de quarta-feira. “O BIND pode ser levado a armazenar em cache as respostas do invasor, se a falsificação for bem-sucedida.”
CVE-2025-40778 também levanta a possibilidade de reviver ataques de envenenamento de cache.
“Sob certas circunstâncias, o BIND é muito tolerante ao aceitar registros de respostas, permitindo que um invasor injete dados forjados no cache”, explicaram os desenvolvedores. “Registros forjados podem ser injetados no cache durante uma consulta, o que pode afetar potencialmente a resolução de consultas futuras.”
Mesmo nesses casos, as consequências resultantes seriam significativamente mais limitadas do que o cenário imaginado por Kaminsky. Uma razão para isso é que os próprios servidores autorizados não são vulneráveis. Além disso, conforme observado aqui e aqui pela Red Hat, várias outras contramedidas contra envenenamento de cache permanecem intactas. Eles incluem DNSSEC, uma proteção que exige que os registros DNS sejam assinados digitalmente. Medidas adicionais vêm na forma de limitação de taxa e firewall de servidor, que são consideradas práticas recomendadas.
“Como a exploração não é trivial, requer falsificação no nível da rede e tempo preciso, e afeta apenas a integridade do cache sem comprometer o servidor, a vulnerabilidade é considerada importante e não crítica”, escreveu a Red Hat em sua divulgação do CVE-2025-40780.
As vulnerabilidades, no entanto, têm o potencial de causar danos em algumas organizações. Patches para todos os três devem ser instalados assim que possível.
