Allvarlig sårbarhet i BIND

En allvarlig sårbarhet har upptäckts i BIND (CVE-2025-40775), med CVSS-klassificering 7.5. [1] Genom att skicka DNS-data med en speciellt utformad TSIG (Transaction Signature) kan servern göras otillgänglig. [2] Detta kan vidare påverka tjänster så som e-post, autentisering, fjärråtkomst och annat som är beroende av DNS.

Det krävs ingen autentisering för att utnyttja sårbarheten. Beroende på nätverkskonfiguration är den i de flesta fall inte möjlig att fjärrutnyttja.

Påverkade produkter

• BIND 9.20.x innan version 9.20.9
• BIND 9.21.x innan version 9.21.8

Versioner innan 9.18 har inte bedömts [2]

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter enligt tillverkarens rekommendationer.

Källor

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-40775

[2] https://kb.isc.org/docs/cve-2025-40775