Schwachstelle in BIND gefährdet hunderttausende DNS-Server

Das BSI veröffentlichte am 28. Oktober 2025 einen Sicherheitshinweis zur Schwachstelle CVE-2025-40778 (EUVD-2025-35581) in der DNS-Lösung BIND des ICS. CVE-2025-40778 mit einem CVSS-Score von 8.6/10 ermöglicht Angreifenden, durch Cache-Poisoning DNS-Einträge zu manipulieren. Über diese manipulierten Einträge können die Kriminellen Internet-Traffic beliebig
umleiten. Seit dem 24. Oktober 2025 existiert zudem ein PoC zur Sicherheitslücke, was das Ausnutzungsrisiko deutlich erhöht.

Von der Schwachstelle betroffen sind folgende Versionen der DNS-Lösung:

• BIND
  • 9.11.0 bis 9.16.50
  • 9.18.0 bis 9.18.39
  • 9.20.0 bis 9.20.13
  • 9.21.0 bis 9.21.12
• BIND Supported Preview Edition
  • 9.11.3-S1 bis 9.16.50-S1
  • 9.18.11-S1 bis 9.18.39-S1
  • 9.20.9-S1 bis 9.20.13-S1
• Versionen, die älter als 9.11.0 sind, wurden nicht dediziert auf Verwundbarkeit geprüft. Laut BSI sei bei diesen Versionen jedoch auch eine Ausnutzung möglich.

Mit den folgenden abgesicherten Versionen schließt das ICS die Lücke:

• Für BIND 9:
  • 9.18.41
  • 9.20.15
  • 9.21.14
• Für BIND Supported Preview Edition:
  • 9.18.41-S1
  • 9.20.15-S1

Weitere Details sowie Mitigationsmaßnahmen finden Sie in der unten verlinkten BSI-IT-Sicherheitsinformation.

Wechseln Sie zu einer der folgenden abgesicherten BIND-Versionen:

• Für BIND 9:
  • 9.18.41
  • 9.20.15
  • 9.21.14
• Für BIND Supported Preview Edition:
  • 9.18.41-S1
  • 9.20.15-S1