Vulnerabilidades de envenenamento de cache são descobertas em aplicativos de resolução DNS

Desenvolvedores do BIND, o software mais utilizado na internet para a resolução de nomes de domínio, emitiram um alerta sobre duas vulnerabilidades que permitem a invasores envenenar caches inteiros de resultados e redirecionar usuários para sites maliciosos visualmente idênticos aos originais.

As falhas, catalogadas como CVE-2025-40778 e CVE-2025-40780, decorrem de um erro de lógica e de uma fragilidade na geração de números pseudoaleatórios, respectivamente.

De forma independente, os desenvolvedores do resolvedor DNS Unbound também divulgaram alertas sobre uma vulnerabilidade semelhante, a CVE-2025-11411.

Esses problemas podem ser explorados para induzir resolvedores DNS de milhares de organizações a substituir respostas legítimas por resultados corrompidos, permitindo que endereços IP válidos sejam trocados por IPs controlados por agentes maliciosos.

As correções já foram disponibilizadas e devem ser aplicadas imediatamente.

Para o BIND, as correções foram implementadas nas seguintes versões: 9.18.41, 9.20.15 e 9.21.14 (bem como nas edições preview correspondentes, 9.18.41-S1 e 9.20.15-S1).

No caso do Unbound, a correção para CVE-2025-11411 foi implementada na versão 1.24.1.