Resumen de CVE-2025-40775
Título: El mensaje DNS con TSIG inválido causa una falla de afirmación
Publicación: 21 de mayo de 2025
Impacto en el Programa: Atar 9
Versiones Afectadas:
- 9.20.0 a 9.20.8
- 9.21.0 a 9.21.7
(Las versiones anteriores a 9.18.0 no fueron evaluadas.)
Gravedad: Alto
Explotable: Remotamente
Score CVSS: 7.5
Vector CVSS: CVSS: 3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Descripción del Problema
La vulnerabilidad CVE-2025-40775 se encuentra en el manejo de mensajes del protocolo DNS en el software Atar 9. Cuando un mensaje DNS incluye una firma de transacción (TSIG) que contiene un valor no válido en el campo de algoritmo, el sistema "Bind" realiza una verificación de esta firma. Si el valor es incorrecto, se produce una falla de afirmación en el sistema, lo que puede llevar a un comportamiento inadecuado del servidor.
Impacto
El impacto principal de esta vulnerabilidad es una Denegación de Servicio (DoS). Un atacante podría enviar mensajes maliciosos al servidor, provocando una terminación inesperada de la aplicación "named", lo que afectaría la disponibilidad del servicio DNS.
Solución
Actualmente, no se conocen soluciones para mitigar esta vulnerabilidad. La recomendación es actualizar a la versión parcheada que más se asemeje a la versión actual de Bind 9. Los usuarios deben verificar regularmente si hay actualizaciones de seguridad disponibles.
Historial de Documentos
- 1.0: Notificación temprana, 14 de mayo de 2025
- 1.1: Aclaración de la lista de versiones afectadas, 19 de mayo de 2025
- 2.0: Divulgación pública, 21 de mayo de 2025
Documentos Relacionados
Para un listado completo de vulnerabilidades de seguridad y versiones afectadas, se recomienda consultar la Matriz de vulnerabilidad de seguridad de Bind 9.
Contacto
Si hay preguntas sobre este aviso de seguridad, las consultas deben ser enviadas al correo electrónico: bind-security@isc.org o se pueden publicar como problemas confidenciales en GitLab.
Nota Importante
Los parches proporcionados por ISC son solo para versiones actualmente soportadas. Se recomienda también revisar la información sobre versiones EOL (fin de vida) afectadas en el sitio web de ISC. Los usuarios deben también referirse a las actualizaciones sobre la política de divulgación de vulnerabilidades de seguridad de ISC que están disponibles en su sitio oficial.
Descargo de Responsabilidad
El aviso es proporcionado por Internet Systems Consortium (ISC) "tal cual". No se garantizan las condiciones de uso y cualquier dependencia en este aviso se realiza bajo el propio riesgo del usuario. ISC se reserva el derecho de modificar este aviso en cualquier momento. Se aclara que las copias no autorizadas o alteradas de este documento pueden carecer de información vital y no reflejar los cambios más recientes.
Conclusión
La vulnerabilidad CVE-2025-40775 presenta un grave riesgo para los sistemas que utilizan versiones afectadas de Bind 9, pudiendo provocar interrupciones significativas en el servicio DNS. Se aconseja a los administradores de sistemas que permanezcan atentos a las actualizaciones y a la disponibilidad de parches para mitigar este riesgo de seguridad.