[TLP:CLEAR] BIND 9 opravuje 1 zraniteľnosť
BIND 9 verziami 9.20.9 a 9.21.8 opravuje 1 zraniteľnosť [2]. Stabilné vydania Debianu [3], LTS vydania Ubuntu [4] a Red Hat produkty [5] touto zraniteľnosťou nie sú postihnuté. Gentoo má zraniteľné verzie dostupné iba ako testing [6].
Neautentizovanému vzdialenému útočníkovi je umožnené spôsobiť DoS útok zasielaním špeciálne vytvorených DNS požiadaviek obsahujúcich TSIG sekciu [1].
Zraniteľnosť sa nachádza v produkte BIND vo verziách (>=9.20 AND <9.20.9) OR (>=9.21 AND <9.21.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2025-40775 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-232: Improper Handling of Undefined Values at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 5. 2025.
Odkazy
- [1] https://nvd.nist.gov/vuln/detail/CVE-2025-40775
- [2] https://www.openwall.com/lists/oss-security/2025/05/21/1
- [3] https://security-tracker.debian.org/tracker/CVE-2025-40775
- [4] https://ubuntu.com/security/CVE-2025-40775
- [5] https://access.redhat.com/security/cve/CVE-2025-40775
- [6] https://packages.gentoo.org/packages/net-dns/bind
Za CESNET-CERTS Martin Krajči dňa 23. 5. 2025.
