Publié le 2025-10-29 08:42:00. Le célèbre serveur DNS BIND, développé par l’Internet Systems Consortium (ISC), est la cible de trois vulnérabilités récemment découvertes. L’une d’elles, particulièrement critique, fait déjà l’objet d’une preuve de concept (PoC) exploitable, rendant une mise à jour urgente indispensable pour les administrateurs système.
- Trois failles de sécurité ont été identifiées dans le logiciel serveur DNS BIND.
- L’une d’elles permet un empoisonnement du cache DNS, potentiellement capable de rediriger le trafic Internet.
- Des mises à jour de sécurité sont disponibles et doivent être appliquées sans délai.
L’Office fédéral allemand de la sécurité de l’information (BSI) a émis une mise en garde concernant ces vulnérabilités. Le PoC développé exploite une faille (CVE-2025-40778, indice CVSS de 8,6 sur 10, risque qualifié de « élevé ») qui pourrait permettre à un attaquant non authentifié de manipuler les entrées DNS via un empoisonnement du cache. L’ISC, créateur de BIND, explique que dans certaines conditions, le logiciel accepte trop facilement des enregistrements issus de réponses, ouvrant la porte à l’injection de données erronées dans son cache. Bien qu’aucune attaque active ne soit encore connue à ce jour, le risque est réel.
Deux autres failles de sécurité corrigées
Outre cette vulnérabilité critique, l’ISC a également résolu deux autres problèmes de sécurité par le biais de mises à jour logicielles. La première (CVE-2025-40780, CVSS 8,6, risque « élevé ») est également liée à un empoisonnement du cache, résultant d’une faiblesse dans le générateur de nombres aléatoires (PRNG). Cela pourrait permettre à un attaquant de deviner le port source et l’identifiant de requête utilisés par BIND. La troisième faille (CVE-2025-8677, CVSS 7,5, risque « élevé ») concerne un déni de service : des entrées DNSKEY spécifiquement conçues pourraient provoquer une surcharge du processeur du serveur.
L’ISC recommande la mise à jour vers les versions BIND 9.18.41, 9.20.15, 9.21.14 ou ultérieures pour corriger ces failles. Le BSI, s’appuyant sur des données de la plateforme Censys, estime que plus de 700 000 serveurs BIND vulnérables seraient encore en service dans le monde, dont près de 40 000 en Allemagne. Par conséquent, les responsables de la sécurité informatique sont instamment priés de vérifier l’état de leurs serveurs DNS BIND et d’appliquer les correctifs disponibles dans les plus brefs délais.
BIND est un logiciel complexe, et les failles de sécurité ne sont pas inédites. Début 2025, une vulnérabilité baptisée « KeyTrap » avait déjà été signalée, causant un déni de service.
(dmk)